本文同步自 wing的地方酒館
Xposed框架是個好東西,有各式各樣的插件提供給大家把玩,比如改個通知欄顏色啊,搶個紅包啊,防個撤回啊啥的。非常實用。
不過這些功能的背後,帶來的可能是一系列安全隱患,因爲Xposed拿到了最高權限,可以hook一切,所以免不了具有雙刃劍的興致。
插件作者爲了方便大家,開發出了各式各樣的插件,這時候往往就會有不法分子趁機而入,來想方設法非法謀取利益。
假如他以某個熱點功能爲幌子,並且植入了惡意代碼,此時享受便利的用戶往往,會防不勝防。
Xposed可以拿到一切函數的參數,設想一下,如果在你支付的時候,拿到了你輸入的密碼,然後偷偷上傳到服務器,會怎麼樣。 再或者,你是指紋支付,如果把指紋驗證的函數永遠返回true呢?
不要說這些是駭人聽聞,因爲Xposed確實有能力#輕易#實現這些,並且實現的方式多種多樣。
安裝了xposed插件,等於把你的一切隱私暴漏出去,包括不限於賬號,密碼,支付密碼。
只能有兩個字來形容,可怕。
所以在此呼籲大家,儘量不要root手機,也儘量不要爲了一些便利功能安裝xposed插件,如果實在想體驗這些功能,一定要尋找GitHub上開源的xposed插件,並且對其進行review.這樣可以一定程度上避免受到侵害的風險。