Android黑科技之读取用户短信+修改系统短信数据库

时间:2022-05-03 07:22:08

安卓系统比起ios系统最大的缺点,相信大家都知道,就是系统安全问题。这篇博客就秀一波“黑科技”。

读取用户短信

android应用能读取用户手机上的短信,相信已经不是什么新鲜事,比如我们收到的短信验证码,一些app马上就能自动获取并填上验证码,省去我们手动填写验证码。原理就是通过android的contentprovider组件间接访问系统的短信数据库,获取所有短信内容。下面来演示一下。

        布局很简单,如下:

 Android黑科技之读取用户短信+修改系统短信数据库

代码如下:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
public class mainactivity extends activity {
  list<message> smslist;
  @override
  protected void oncreate(bundle savedinstancestate) {
    super.oncreate(savedinstancestate);
    setcontentview(r.layout.activity_main);
    smslist = new arraylist<message>();
  }
  public void click(view v){
    //访问内容提供者获取短信
    contentresolver cr = getcontentresolver();
    //            短信内容提供者的主机名
    cursor cursor = cr.query(uri.parse("content://sms"), new string[]{"address", "date", "body", "type"},
        null, null, null);
    while(cursor.movetonext()){
      string address = cursor.getstring(0);
      long date = cursor.getlong(1);
      string body = cursor.getstring(2);
      string type = cursor.getstring(3);
      message sms = new message(body, type, address, date);
      smslist.add(sms);
      log.e("tag", sms.tostring());
    }
  }
  public void click2(view v){
    xmlserializer xs = xml.newserializer();
    file file = new file("sdcard/sms.xml");
    fileoutputstream fos;
    try {
      fos = new fileoutputstream(file);
      xs.setoutput(fos, "utf-8");
      xs.startdocument("utf-8", true);
      xs.starttag(null, "message");
      for (message sms : smslist) {
        xs.starttag(null, "sms");
        xs.starttag(null, "body");
        xs.text(sms.getbody());
        xs.endtag(null, "body");
        xs.starttag(null, "date");
        xs.text(sms.getdate() + "");
        xs.endtag(null, "date");
        xs.starttag(null, "type");
        xs.text(sms.gettype());
        xs.endtag(null, "type");
        xs.starttag(null, "address");
        xs.text(sms.getaddress());
        xs.endtag(null, "address");
        xs.endtag(null, "sms");
      }
      xs.endtag(null, "message");
      xs.enddocument();
    } catch (exception e) {
      // todo auto-generated catch block
      e.printstacktrace();
    }
  }
}

要读取手机短信和插入短信,还必须加上一下权限:

?
1
2
<uses-permission android:name="android.permission.read_sms"/>
  <uses-permission android:name="android.permission.write_external_storage"/>

下面来分析一下代码:第一个按钮通过contentprovider间接获取了一些短信的信息,保存在一个list数组下。我们先导出android系统的sms表看一下:

 Android黑科技之读取用户短信+修改系统短信数据库

总共有17个字段这么多,显然不是我们都关心的,这里只要了address,date, body, type四个字段,分别表示对方号码,短信时间,短信内容,发送还是接收。第二个按钮把短信相关信息存储在一个序列化的xml文件中,方便查看。 

放上xml截图:

 Android黑科技之读取用户短信+修改系统短信数据库

可以看出此时手机上共有5条短信,大功告成。

修改系统短信数据库

         真正的黑科技来了,相信大家知道有些不法分子能冒充各种号码发布虚假信息,如10086啥的,下面示范一下用95533(建行)发送一条愚人节贺卡。

         代码如下:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
public class mainactivity extends activity {
  @override
  protected void oncreate(bundle savedinstancestate) {
    super.oncreate(savedinstancestate);
    setcontentview(r.layout.activity_main);
  }
  public void click(view v){
    thread t = new thread(){
      @override
      public void run() {
        contentresolver cr = getcontentresolver();
        contentvalues values = new contentvalues();
        values.put("address", 95533);
        values.put("type", 1);
        values.put("date", system.currenttimemillis());
        values.put("body", "您尾号为9999的信用卡收到1,000,000rmb转账,请注意查收");
        cr.insert(uri.parse("content://sms"), values);
      }
    };
    t.start();
  }
}

思路跟前一步差不多,不过这里是插入一条短信。实现效果:

Android黑科技之读取用户短信+修改系统短信数据库

顺带一提,从android 5.0开始,默认短信应用外的软件不能以写入短信数据库的形式(write sms)发短信,也就是说修改系统短信数据库行不通了,不过读取用户短信这个bug至今还没修复。所以不想被骗的童鞋还是感觉升级5.0以上的版本吧^_^