Tapjacking, "탭"과 "납치"의 조합, 그냥 그 의미. 공격자가 사용자가 탭을 납치하고 그가 의도하지 않은 일을하는 그를 속이는 공격이다. 그렇다면 어떻게 작동하고 어떻게 막을 수 있을까요?

그럼 화면 오버레이와 함께 우리의 이야기를 시작합니다. 화면 오버레이 또는 Google이 호출할 때 TYPE_APPLICATION_OVERLAY 형식을 사용하는 창입니다. 이들은 다른 애플 리 케이 션위에 그려진 창이며 일반적으로 화면의 일부를 모호하게. 앱에서 새 권한을 요청할 때 종종 사용됩니다(아래 예제 이미지).

이것은 실제로 시원하고 재미있는 기능이며 점점 더 많은 앱이 그것을 사용하기 시작하고, 페이스 북 채팅 거품에 대해 생각하거나, 아래스크린 샷과 같이 화면 의 모서리에 Google지도 탐색에 대해 생각하기 시작했습니다.

그러나 이러한 오버레이와 관련된 보안 위험이 있습니다. 활성 화면 오버레이는 탭을들을 수 있습니다, 페이스 북은 우리가 탭하거나 거품을 드래그 것을 어떻게 알 수 있습니까? 이를 통해 앱은 귀하를 감시하고 암호 및 신용 카드 데이터를 잠재적으로 도용할 수 있습니다.

한 단계 더 나아가, 탭잭킹이라는 용어가 나오는 곳이며, 오버레이는 다른 작업을 수행하도록 사용자를 속이는 다른 앱 위에 물건을 그릴 수 있습니다. 사용자는 오버레이와 상호 작용하고 있다고 생각하지만 실제로는 탭이 기본 앱에서 작업을 수행합니다. 이렇게 하면 오버레이가 이전 YouTube 동영상에서설명한 것처럼 특정 권한을 사용하도록 유도하거나 위험한 설정을 변경할 수 있습니다.

위의 데모 비디오는 2010년에 YouTube에 업로드되었기 때문에 이전 버전의 Android에서 수행되었습니다. 그러나 공격은 여전히 오늘날 관련이 있습니다, 취약점은 누가와 마시멜로와 같은 안드로이드의 최신 버전에서 탭 재킹을 허용하는 빛을 왔다으로.

그래서 당신은 그것에 대해 무엇을 할 수 있습니까? 사용자로서 이러한 오버레이의 결과를 인식하고 이를 사용하는 앱을 인식하는 것이 중요합니다. API 레벨 23 (Android 6.0 마시멜로)을 통해 사용자에게 명시적으로 부여해야 하는권한이 되었습니다. 그러나, 그 잎 50% 안 드 로이드사용자의 여전히 취약. "다른 앱에 표시"에서 설정에서 이 권한을 사용하는 앱을 확인할 수 있습니다.

개발자로서 사용자의 완전한 지식과 동의로 사용자 작업이 수행되도록 하는 것은 당사의 일입니다. 안드로이드는 필터링을 호출, 그냥 그렇게 보기에 대한 설정을 제공합니다경우가 적용. 이 옵션을 사용하도록 설정하면 다른 표시 창에 의해 뷰 창이 가려질 때마다 프레임워크가 수신되는 터치를 삭제합니다. 그만큼 간단, 설정 필터경우경우는 사실에 모호하고, 응용 프로그램은 탭 재킹에서 안전합니다.

행운을 빌어 요 다음 주 당신을 참조하십시오!

경우에 따라 응용 프로그램이 권한 요청 부여, 구매 또는 광고 클릭과 같은 사용자의 전체 지식과 동의를 통해 작업을 수행하고 있는지 확인할 수 있어야 합니다. 안타깝게도 악의적인 응용 프로그램은 사용자가 의도한 뷰 목적을 은폐하여 인식하지 못하고 이러한 작업을 수행하도록 스푸핑하려고 시도할 수 있습니다.

https://developer.android.com/reference/android/view/View.html