密码软键盘安全 - 键盘劫持测试 - 《Android 渗透测试手册》

1. 问题说明

检查移动客户端 APP 在输入密码等敏感信息时是否使用了自定义软键盘。Android 应用中的输入框默认使用系统软键盘，如果目标手机被安装了木马，木马可以通过替换系统软键盘，记录应用的敏感信息输入。

首先我们需要进入 adb 使用 logcat 调出日志，关于 logcat 的使用，后面会出文章进行讲解。

这里我们使用的是 ns_keylogger.apk，当然大家也可以使用其他的键盘记录工具，微信公众号后台回复「0216」获取 ns_keylogger.apk。

该 APK 文件安装后桌面不会有显示，需要我们到「设置」->「语言和输入法」-> 选择「NSFOCUS test Keyboard」。

键盘劫持测试 - 图1

选择了该键盘记录器后，找到我们需要测试的 APP，在输入框中使用键盘记录器输入信息。

键盘劫持测试 - 图2

可以看到打印的日志中显示了键盘记录器的信息。

键盘劫持测试 - 图3

建议移动客户端 APP 开发自定义软键盘而不是直接使用系统软件盘以防止键盘劫持攻击。当然该问题也视 APP 类型而定，对于金融类等涉及资金安全的，建议最好还是使用自定义软键盘。