Xposed获取微信用户名密码

参考文章:Xposed恶意插件
Android 安全专项-Xposed 劫持用户名密码实践

0x00

我在之前的文章中演示了一下如何通过Xposed获取用户名密码,那篇文章的例子是我自己写的,Monkey就提议用一个大家都使用的App来试试,ok所以就有了这篇文章

0x01

我根据Xposed恶意插件这篇文章介绍的原理开发了一个Xposed Module

我这次的例子采用的是微信客户端740来试的,下面看效果图:

Xposed获取微信用户名密码

实际上我输入真实账号,登录进去也能获取到用户名密码,具体的机制看前文的参考文章。

0x02

我这次试了市面上几个应用,其中QQ和招商银行App,获取的都是乱码,说明对这种风险做过处理,JD商城无法获取,这个我需要在研究下,而支付宝,58App用上面的工具都能获取到用户名密码。

0x03

此项目我选择不公布代码,所以代码的部分都没有贴。其实这个不能算大问题,只是算一个有风险的地方,重要的其实跟QQ或者招商银行及时做出应对,当年这个文章爆出来的时候,QQ的用户名密码也能被活动,但是现在人家已经做了防护了。但是微信作为QQ的同系,居然没有做防护,微信比较还年轻,要做的还有很多

0x04

后续要做的是,分析出QQ和招商银行是如何防护的,给出一套解决方案才是最重要的

Xposed获取微信用户名密码

上一篇:PHP实现微信公众账号开发


下一篇:C# 微信支付证书使用