参考文章:
Xposed 恶意插件
Android 安全专项-Xposed 劫持用户名密码实践
我在之前的文章中演示了一下如何通过 Xposed 获取用户名密码,那篇文章的例子是我自己写的,Monkey 就提议用一个大家都使用的 App 来试试,ok 所以就有了这篇文章
我根据Xposed恶意插件
这篇文章介绍的原理开发了一个Xposed Module
我这次的例子采用的是微信客户端 740 来试的,下面看效果图:
实际上我输入真实账号,登录进去也能获取到用户名密码,具体的机制看前文的参考文章。
我这次试了市面上几个应用,其中 QQ 和招商银行 App,获取的都是乱码,说明对这种风险做过处理,JD 商城无法获取,这个我需要在研究下,而支付宝,58App 用上面的工具都能获取到用户名密码。
[2016.3.16 更新]
在 4.3 系统上,QQ 的密码依然能够获取,而在 4.2 上是获取到的是类似与这种的!@#ewa
信息,说明他的防护措施在 4.3 系统是失效的。
此项目我选择不公布代码,所以代码的部分都没有贴。其实这个不能算大问题,只是算一个有风险的地方,重要的其实跟 QQ 或者招商银行及时做出应对,当年这个文章爆出来的时候,QQ 的用户名密码也能被获取,但是现在人家已经做了防护了。但是微信作为 QQ 的同系,居然没有做防护,微信比较还年轻,要做的还有很多
后续要做的是,分析出 QQ 和招商银行是如何防护的,给出一套解决方案才是最重要的