Root后绕过支付宝、QQ密码,这种手机APP访问密码的绕过问题,说明设计很low?

admin 2021年4月2日20:09:04评论72 views字数 1619阅读5分23秒阅读模式

这种手机APP访问密码的绕过问题,是否说明设计很low?

疯狗 (你在乌云这么叼,你家人知道么?) | 2014-04-23 16:52

源自 root很危险!安卓QQ/支付宝密码可被绕过 这么一篇文章,让我知道了Xposed框架,还让我知道了使用SwipeBack滑动手势,通过“滑动返回”操作是可以绕过QQ和支付宝的手势密码的。

Xposed是去年面世的一款安卓扩展框架,来自XDA论坛上的第三方开发者。Xposed非常强大,用户可以通过Xposed平台安装各种神奇的App,实现很多普通安卓App做不到的功能,总体来说使用体验接近苹果iOS上的Cydia。用户可以通过Xposed平台安装一款名为SwipeBack的App,实现各种手势操作。据网友分析,手机QQ和支付宝App应该是在主界面上方覆盖了一层手势密码界面,使用SwipeBack结束手势界面后即可进入主界面。如果换成输入手势密码正确后,再创建主界面的设计,或许可以解决问题。

这个框架需要给手机root,话说root了从sqllite里不是能读取出手势密码的顺序么?我觉得重点是这里:

这种设计是否说明厂商在APP安全性考虑上太low了?

[原文地址]

相关讨论:

1#

RedCloud | 2014-04-23 16:58

沙发

2#

奎尼 (>///

是的.

3#

李旭敏 ((҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉) | 2014-04-23 17:08

一般都被忽略把,这类漏洞··

4#

cddevils | 2014-04-23 18:06

这种密码一般是用来YY的 换个手机就没密码了。。。

5#

abaddon (我就认识这几个字母因此取了这名字) | 2014-04-23 18:42

@cddevils 支付宝的不是 苹果设置的 安卓一样生效。。。

6#

hqdvista (...) | 2014-04-23 23:21

都root了,啥不能干,直接拖了token

7#

hqdvista (...) | 2014-04-23 23:28

root了能干啥:

1. 把原生app悄悄换掉,直接换成钓鱼apk记录密码

2. activity劫持,钓鱼记录密码(不root其实也行)

3. 直接读/dev/input,嗅探用户点击操作输入内容,或者读framebuffer截屏

4. 直接劫持重置密码短信,重置用户账号

5. xxxx.....

root了只有想不到,没有做不到,所以文中所述的这种其实只是毛毛雨啦

8#

wefgod (求大牛指点) | 2014-04-23 23:57

root之后太危险了,现在新手机我都没root

9#

123 (v2ex) | 2014-04-24 09:49

root之后你和应用都不是一个权限级别了,有什么好说的....

10#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-04-24 10:14

root了还干这个做毛线,直接从数据库中读取密码,或者修改密码。

留言评论(旧系统):

佚名 @ 2014-04-24 17:21:17

我不会说支付宝的手势密码是md5加密存在本地。解密后的内容就是坐标组合,九宫格坐标分别是012345678。

本站回复:

呵呵,很早就研究过了,就在它的数据库中,很简单,一次MD5,原文内容为数字坐标,按手势顺序排列。

佚名 @ 2014-04-24 17:24:10

我不会说支付宝的手势密码是md5加密存在本地。解密后的内容就是坐标组合,九宫格坐标分别是012345678。

本站回复:

呵呵,很早就研究过了,就在它的数据库中,很简单,一次MD5,原文内容为数字坐标,按手势顺序排列。

flowind @ 2014-04-25 03:09:34

说到这个..淘宝浏览器是支持淘宝账号登录自动登录的.
然后账号密码数据库是sqlite3的.
然后大家都懂的..
猜测覆盖这数据库文件可以实现异地登录..然后..
就没的然后了..

本站回复:

淫荡、风骚

文章来源于lcx.cc:Root后绕过支付宝、QQ密码,这种手机APP访问密码的绕过问题,说明设计很low?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月2日20:09:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Root后绕过支付宝、QQ密码,这种手机APP访问密码的绕过问题,说明设计很low?http://cn-sec.com/archives/317000.html

发表评论

匿名网友 填写信息