Tapjacking
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Tapjacking to atak, w którym złośliwa aplikacja jest uruchamiana i pozycjonuje się na wierzchu aplikacji ofiary. Gdy widocznie zasłania aplikację ofiary, jej interfejs użytkownika jest zaprojektowany w taki sposób, aby oszukać użytkownika do interakcji z nią, podczas gdy przekazuje interakcję do aplikacji ofiary. W efekcie, oślepia użytkownika, aby nie wiedział, że faktycznie wykonuje akcje w aplikacji ofiary.
Aby wykryć aplikacje podatne na ten atak, należy szukać eksportowanych aktywności w manifeście androida (zauważ, że aktywność z intencją-filtrującą jest automatycznie eksportowana domyślnie). Gdy znajdziesz eksportowane aktywności, sprawdź, czy wymagają jakichkolwiek uprawnień. Dzieje się tak, ponieważ złośliwa aplikacja również będzie potrzebować tych uprawnień.
Zgodnie z tym źródłem, ataki tapjacking są automatycznie zapobiegane przez Androida od wersji 12 (API 31 i 30) i wyższych. Tak więc, nawet jeśli aplikacja jest podatna, nie będziesz w stanie jej wykorzystać.
filterTouchesWhenObscuredJeśli android:filterTouchesWhenObscured jest ustawione na true, View nie otrzyma dotyków, gdy okno widoku jest zasłonięte przez inne widoczne okno.
setFilterTouchesWhenObscuredAtrybut setFilterTouchesWhenObscured ustawiony na true może również zapobiec wykorzystaniu tej podatności, jeśli wersja Androida jest niższa.
Jeśli ustawione na true, na przykład, przycisk może być automatycznie wyłączony, jeśli jest zasłonięty:
Najbardziej najnowsza aplikacja na Androida przeprowadzająca atak Tapjacking (+ wywołanie przed eksportowaną aktywnością atakowanej aplikacji) można znaleźć pod adresem: https://github.com/carlospolop/Tapjacking-ExportedActivity.
Postępuj zgodnie z instrukcjami w README, aby z niej skorzystać.
Przykładowy projekt implementujący FloatingWindowApp, który można użyć do nałożenia na inne aktywności w celu przeprowadzenia ataku clickjacking, można znaleźć w FloatingWindowApp (trochę stary, powodzenia w budowaniu apk).
Wygląda na to, że ten projekt nie jest już utrzymywany i ta funkcjonalność nie działa już poprawnie
Możesz użyć qark z parametrami --exploit-apk --sdk-path /Users/username/Library/Android/sdk, aby stworzyć złośliwą aplikację do testowania możliwych Tapjacking luk.\
Mitigacja jest stosunkowo prosta, ponieważ deweloper może zdecydować, że nie chce odbierać zdarzeń dotykowych, gdy widok jest zasłonięty przez inny. Korzystając z Dokumentacji dewelopera Androida:
Czasami istotne jest, aby aplikacja mogła zweryfikować, że akcja jest wykonywana z pełną wiedzą i zgodą użytkownika, na przykład przyznając prośbę o uprawnienia, dokonując zakupu lub klikając w reklamę. Niestety, złośliwa aplikacja mogłaby próbować oszukać użytkownika, aby wykonał te akcje, nieświadomie, ukrywając zamierzony cel widoku. W ramach remediów, framework oferuje mechanizm filtrowania dotyków, który można wykorzystać do poprawy bezpieczeństwa widoków, które zapewniają dostęp do wrażliwej funkcjonalności.
Aby włączyć filtrowanie dotyków, wywołaj
setFilterTouchesWhenObscured(boolean)lub ustaw atrybut layout android:filterTouchesWhenObscured na true. Po włączeniu, framework odrzuci dotyki, które są odbierane, gdy okno widoku jest zasłonięte przez inne widoczne okno. W rezultacie widok nie otrzyma dotyków, gdy nad oknem widoku pojawi się toast, dialog lub inne okno.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
