Xposed获取微信usernamepassword

请关注我的微信公众号

參考文章:Xposed恶意插件
Android 安全专项-Xposed 劫持usernamepassword实践

0x00

我在之前的文章中演示了一下怎样通过Xposed获取usernamepassword。那篇文章的样例是我自己写的，Monkey就提议用一个大家都使用的App来试试。ok所以就有了这篇文章

0x01

我依据Xposed恶意插件这篇文章介绍的原理开发了一个Xposed Module

我这次的样例採用的是微信client740来试的，以下看效果图：

实际上我输入真实账号。登录进去也能获取到usernamepassword，详细的机制看前文的參考文章。

0x02

我这次试了市面上几个应用，当中QQ和招商银行App。获取的都是乱码，说明对这样的风险做过处理。JD商城无法获取，这个我须要在研究下，而支付宝。58App用上面的工具都能获取到usernamepassword。

0x03

此项目我选择不发布代码，所以代码的部分都没有贴。事实上这个不能算大问题，仅仅是算一个有风险的地方，重要的事实上跟QQ或者招商银行及时做出应对，当年这个文章爆出来的时候。QQ的usernamepassword也能被活动，可是如今人家已经做了防护了。可是微信作为QQ的同系，竟然没有做防护，微信比較还年轻，要做的还有非常多

0x04

兴许要做的是，分析出QQ和招商银行是怎样防护的，给出一套解决方式才是最重要的