这种手机APP访问密码的绕过问题,是否说明设计很low?
疯狗 (你在乌云这么叼,你家人知道么?) | 2014-04-23 16:52
源自 root很危险!安卓QQ/支付宝密码可被绕过 这么一篇文章,让我知道了Xposed框架,还让我知道了使用SwipeBack滑动手势,通过“滑动返回”操作是可以绕过QQ和支付宝的手势密码的。
Xposed是去年面世的一款安卓扩展框架,来自XDA论坛上的第三方开发者。Xposed非常强大,用户可以通过Xposed平台安装各种神奇的App,实现很多普通安卓App做不到的功能,总体来说使用体验接近苹果iOS上的Cydia。用户可以通过Xposed平台安装一款名为SwipeBack的App,实现各种手势操作。据网友分析,手机QQ和支付宝App应该是在主界面上方覆盖了一层手势密码界面,使用SwipeBack结束手势界面后即可进入主界面。如果换成输入手势密码正确后,再创建主界面的设计,或许可以解决问题。
这个框架需要给手机root,话说root了从sqllite里不是能读取出手势密码的顺序么?我觉得重点是这里:
这种设计是否说明厂商在APP安全性考虑上太low了?
相关讨论:
1#
RedCloud | 2014-04-23 16:58
沙发
2#
奎尼 (>///<"') | 2014-04-23 16:59
是的.
3#
李旭敏 ((҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉) | 2014-04-23 17:08
一般都被忽略把,这类漏洞··
4#
cddevils | 2014-04-23 18:06
这种密码一般是用来YY的 换个手机就没密码了。。。
5#
abaddon (我就认识这几个字母因此取了这名字) | 2014-04-23 18:42
@cddevils 支付宝的不是 苹果设置的 安卓一样生效。。。
6#
hqdvista (...) | 2014-04-23 23:21
都root了,啥不能干,直接拖了token
7#
hqdvista (...) | 2014-04-23 23:28
root了能干啥:
1. 把原生app悄悄换掉,直接换成钓鱼apk记录密码
2. activity劫持,钓鱼记录密码(不root其实也行)
3. 直接读/dev/input,嗅探用户点击操作输入内容,或者读framebuffer截屏
4. 直接劫持重置密码短信,重置用户账号
5. xxxx.....
root了只有想不到,没有做不到,所以文中所述的这种其实只是毛毛雨啦
8#
wefgod (求大牛指点) | 2014-04-23 23:57
root之后太危险了,现在新手机我都没root
9#
123 (v2ex) | 2014-04-24 09:49
root之后你和应用都不是一个权限级别了,有什么好说的....
10#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-04-24 10:14
root了还干这个做毛线,直接从数据库中读取密码,或者修改密码。
留言评论(旧系统):