参考文章:
Xposed 恶意插件
Android 安全专项-Xposed 劫持用户名密码实践
0x00
我在之前的文章中演示了一下如何通过 Xposed 获取用户名密码,那篇文章的例子是我自己写的,Monkey 就提议用一个大家都使用的 App 来试试,ok 所以就有了这篇文章
0x01
我根据Xposed恶意插件这篇文章介绍的原理开发了一个Xposed Module
我这次的例子采用的是微信客户端 740 来试的,下面看效果图:
实际上我输入真实账号,登录进去也能获取到用户名密码,具体的机制看前文的参考文章。
0x02
我这次试了市面上几个应用,其中 QQ 和招商银行 App,获取的都是乱码,说明对这种风险做过处理,JD 商城无法获取,这个我需要在研究下,而支付宝,58App 用上面的工具都能获取到用户名密码。
[2016.3.16 更新]
在 4.3 系统上,QQ 的密码依然能够获取,而在 4.2 上是获取到的是类似与这种的!@#ewa信息,说明他的防护措施在 4.3 系统是失效的。
0x03
此项目我选择不公布代码,所以代码的部分都没有贴。其实这个不能算大问题,只是算一个有风险的地方,重要的其实跟 QQ 或者招商银行及时做出应对,当年这个文章爆出来的时候,QQ 的用户名密码也能被获取,但是现在人家已经做了防护了。但是微信作为 QQ 的同系,居然没有做防护,微信比较还年轻,要做的还有很多
0x04
后续要做的是,分析出 QQ 和招商银行是如何防护的,给出一套解决方案才是最重要的
QQ 在 4.3 上也能获取到密码了
既然机器 root 了,那在监控到启动某个 activity 的时候,执行 screenrecord 命令录屏。
#16 楼 @zhangzhao_lenovo 嗯,现在应该无法利用了。但是这个漏洞的发现确实挺厉害的。
刚找了下
google 2015.10.9 号发补丁修复了https://android.googlesource.com/platform/frameworks/base/+/b3145760db5d58a107fd1ffd8eeec67d983d45f3
发现这个漏洞的哥们 想法很奇特...
#14 楼 @zhangzhao_lenovo 这个漏洞还没修么?我研究下,3q
http://zt.360.cn/1101061855.php?dtid=1101061451&did=1101452330 这个是录屏的... 未公布之前 完全没想到过,简直防不胜防。
#12 楼 @zhangzhao_lenovo 这个之前听说过,需要去实践下,起 activity 就是专门针对某个应用攻击了,录屏的话原理应该不难,支持没有 hook 的方式直接,还需要分析视频
反正也 root 了。 另一类界面劫持比这个危害大 。 在密码界面输入时 启个一模一样的 activity,或者启个透明 layout,再或者开启一段录屏。
#10 楼 @zhangzhao_lenovo 这个我这几天确认下,做个防护演示
#7 楼 @zhangzhao_lenovo qq 和招行是能获取到值的,不过值是做过特殊处理的,就是乱码,或者 ****,他肯定对 getText 做了处理
#7 楼 @zhangzhao_lenovo 不是,是 hook ,textview 的 setInputType
貌似是 hook 了 edittext 的 gettext?
猜想 qq,招行 要不就是继承 edittext 的自定义控件, 要不就干脆不是 edit。具体还得分析原 apk
期待博士的进一步分析
安卓没 ROOT,是不是就 hook 不了呢。
赞啊~
最近在研究 iOS 对无源码的 app 进行 hook ,卡在重签名上面了,还是 android 方便。
点赞,这个太关键了
赞👍🏻
前排支持 q 博