Xposed获取微信usernamepassword
请关注我的微信公众号
參考文章:Xposed恶意插件
Android 安全专项-Xposed 劫持usernamepassword实践
0x00
我在之前的文章中演示了一下怎样通过Xposed获取usernamepassword。那篇文章的样例是我自己写的,Monkey就提议用一个大家都使用的App来试试。ok所以就有了这篇文章
0x01
我依据Xposed恶意插件
这篇文章介绍的原理开发了一个Xposed Module
我这次的样例採用的是微信client740来试的,以下看效果图:
实际上我输入真实账号。登录进去也能获取到usernamepassword,详细的机制看前文的參考文章。
0x02
我这次试了市面上几个应用,当中QQ和招商银行App。获取的都是乱码,说明对这样的风险做过处理。JD商城无法获取,这个我须要在研究下,而支付宝。58App用上面的工具都能获取到usernamepassword。
0x03
此项目我选择不发布代码,所以代码的部分都没有贴。事实上这个不能算大问题,仅仅是算一个有风险的地方,重要的事实上跟QQ或者招商银行及时做出应对,当年这个文章爆出来的时候。QQ的usernamepassword也能被活动,可是如今人家已经做了防护了。可是微信作为QQ的同系,竟然没有做防护,微信比較还年轻,要做的还有非常多
0x04
兴许要做的是,分析出QQ和招商银行是怎样防护的,给出一套解决方式才是最重要的