定位用户授权前获取mac的问题(工信部要下架APP)

2019-12-10  本文已影响0人  luckespduino

      最近,工信部说我们APP在用户授权前就获取了mac,开发测试定位不到问题,说没问题,让我们帮忙看看(安全真的是什么都干,解决各种疑难杂症).......

      话不多说,开始干,开始查找获取mac的接口,主要有两个  getHardwareAddress() 和 getMacAddress()

      详见https://blog.csdn.net/chaozhung_no_l/article/details/78329371

      一开始,利用frida hook  以hook deviceid为例  其他的自己写

hookdeviceid.js

frida -U -f xxxxxx -l  xxxxx.js --no-pause

结果在用户授权前调用这些获取用户信息的接口,以为是hook问题,于是修改android源码,增加日志来再次尝试

修改NetWorkInterface.java 下的byte[] getHardwareAddress()函数 增加日志 记得导入日志包

getHardwareAddress路径

修改WifiInfo.java 下的getMacAddress()函数 增加日志 记得导入日志包 路径如下

getMacAddress路径

编译 输入pixel  结果最后发现还是没有调用这些接口

最后把链接去了 顺便写了个Xposed插件来hook获取敏感信息的函数

放个链接

https://github.com/espduino/Hegui2.0

上一篇下一篇

猜你喜欢

热点阅读