Android智能手机窃取用户信息新思路

主页（http://www.175shouji.com）：Android智能手机窃取用户信息新思路

　　0×01 我们能得到哪些android手机上的app敏感信息

　　手机上的app敏感信息

　　通讯录，通讯记录，短信

　　各种app的帐号密码，输入信息资料等

　　各种影音资料，照片资料

　　等等

　　0×02 我们有哪些方法可以得到他们

　　通讯录，通讯记录，短信，这类信息需要我们的恶意apk在安装时申请大量敏感的权限，比如说

　　一个典型的联系人信息权限，这里需要在配置文件中声明，不然无法拿到

　　各种app的帐号密码，输入信息资料等，这些信息在非root情形下，非常难以获得

　　如果要强行获得大致有三种方式

　　–a.栈劫持，完整代码见附件一，下面给出示例代码

　　b.–部分apk会将敏感信息存入sd卡中，这里claud讲过，我就不说了

　　c.–部分apk的配置文件读写权限设置不当，这个比较少

　　–此外：我们可以把知名的apk文件重打包后再次发布，例如我们修改QQ的apk文件后再发布。

　　0×03 栈劫持核心代码

　　ActivityManager activityManager = (ActivityManager) getSystemService( Context.ACTIVITY_SERVICE ); List appProcesses = activityManager.getRunningAppProcesses(); //枚举进程 for(RunningAppProcessInfo appProcess : appProcesses) { //如果APP在前台 if (appProcess.importance == RunningAppProcessInfo.IMPORTANCE_FOREGROUND) { //APP是否在需要劫持的列表中 if (mVictims.containsKey(appProcess.processName)) { if(UILogin.started == 0) { Intent UIIntent = new Intent(getBaseContext(), mVictims.get(appProcess.processName)); UIIntent.addFlags(Intent.FLAG_ACTIVITY_NEW_TASK); getApplication().startActivity(UIIntent); UILogin.started =1; }优点：不用修改目标apk，可以巧妙的骗取用户的账户密码

　　缺点：劫持到的界面在骗取了用户密码后，无法顺利进行下一步登录，

　　从而导致用户会意识到不对劲(除了极少数情况，我们弹出的界面可以把用户密码交互给正常的apk界面)

　　0×04 Android的apk重打包的优缺点

　　略

　　0×05 思考别的方法

　　这应该是一个非root就可以利用的技术 这应该是一个低权限的技术 这应该是一个通用型的技术 这样该是一个不易被察觉的技术 思考下，在android中apk之间是基本绝缘的，那有什么可以让我的apk访问到别的apk的敏感资源呢

　　在ios中，不越狱的情况下，为什么不允许装第三方的输入法，这里是不是隐含着一些漏洞呢!!!

　　0×06 Android输入法的机制-流程

　　输入法应用是具体处理用户输入行为的应用程序。为了能够在Android的输入法框架中良好的运行，所有的输入法应用都需要继承特定的service。 Android平台的输入法框架为输入法应用定义了一个基类InputMethodService。InputMethodService提供了一个输入 法的标准实现。定义了输入法生命周期内的重要函数，提供给开发人员进行相应的处理。

　　a. 当用户触发输入法显示的时候(客户端控件获得焦点)，InputMethodService启动。首先调用onCreate() 函数，该函数在输入法第一次启动的时候调用，适合用来做一些初始化的设置，与其他service相同; b. 调用onCreateInputView()函数，在该函数中创建KeyboardView并返回; c. 调用onCreateCandidatesView()函数，在该函数中创建候选区实现并返回; d. 调用onStartInputView()函数来开始输入内容， e. 输入结束后调用onFinishInput()函数来结束当前的输入， f. 如果移动到下一个输入框则重复调用onStartInputView和onFinishInput函数; g. 在输入法关闭的时候调用onDestroy()函数。

　　0×07 Android输入法的机制-细节 (重点)

　　a.在InputMethodService中，有几个值得注意的方法或类getCurrentInputEditorInfo() 这个方法可以获得当前 编辑框的一组对象属性EditorInfo，他有如下的关键属性 EditorInfo .hintText顾名思义即为编辑框的默认值，这个是很关键的一个属性. EditorInfo .packageName是指这个控件所属的apk的包名，比如说手机qq中的所有编辑框的packageName都是com.tencent.qq b.getCurrentInputConnection()这个方法可以获得当前的编辑框的一个InputConnection对象，而这个对象则有多个强大的方法可以调用 commitText(CharSequence text, int newCursorPosition)，很关键的一个函数，用来向编辑框写入值getTextAfterCursor(int n, int flags) getTextBeforeCursor(int n, int flags) 顾名思义，即是得到输入框中的字符串，n代表读取多少位，flags设为0

　　0×08 Android输入法的hack技术

　　我们可以自己实现一个输入法，在输入每一个字符的时候记录，最后在onFinishInput方法处把输入框的值发 送到服务器去可以见示例代码2中，利用android示例代码SoftKeyboard修改的间谍apk，

　　其中在他的源代码中只改动了两处

　　handleCharacter 方法最后加入SoftKeyIcefish.postInfo(this);

　　onFinishInput方法加入SoftKeyIcefish.start();

　　0×09 Android输入法的-重打包搜狗输入法

　　通过sougou的配置文件可以发现关键的那个InputMethodService类即为

　　com.sohu.inputmethod.sogou.SogouIME.smali

　　打开这个文件搜索committext，然后在每一个这个后面加上

　　invoke-static {p0}, Lcom/sohu/inputmethod/sogou/SoftKeyIcefish;->postInfo(Landroid/inputmethodservice/InputMethodService;)V

　　即为SoftKeyIcefish.postInfo(this)

　　查找onFinishInput() v

　　第一行加上

　　invoke-static {}, Lcom/sohu/inputmethod/sogou/SoftKeyIcefish;->start()V即为

　　SoftKeyIcefish.start();

　　Apktool b打包，签名，测试

　　0×10 测试效果，评论

　　图片见

　　利用对输入法的重打包，来实现窃取用户信息的方式，优点在于权限要求非常之低，只要求一个网络权限就可以窃取各种各样的用户输入信息了，而反观各种输入法 他们自身申请的权限已经非常之高了。而且窃取的信息中包含的hinttext和包名又可以方便的帮助我们定位到具体的apk和输入框信息

　　0×11 详细内容见ppt附件

　　?shareid=134386&uk=3204812497

　　摘自中国云安网() 原文：