Tapjacking
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Tapjacking je napad gde se maliciozna aplikacija pokreće i pozicionira iznad aplikacije žrtve. Kada vidljivo zakloni aplikaciju žrtve, njen korisnički interfejs je dizajniran na način da prevari korisnika da interaguje s njom, dok zapravo prosleđuje interakciju aplikaciji žrtve. U suštini, to oslepljuje korisnika da ne zna da zapravo izvršava radnje na aplikaciji žrtve.
Da biste detektovali aplikacije ranjive na ovaj napad, trebali biste tražiti izvezene aktivnosti u android manifestu (napomena: aktivnost sa intent-filterom se automatski izveze po defaultu). Kada pronađete izvezene aktivnosti, proverite da li zahtevaju neku dozvolu. To je zato što će maliciozna aplikacija takođe trebati tu dozvolu.
Prema ovom izvoru, napadi tapjacking automatski se sprečavaju od strane Android-a od Android 12 (API 31 & 30) i novijih verzija. Dakle, čak i ako je aplikacija ranjiva, nećete moći da je iskoristite.
filterTouchesWhenObscured
Ako je android:filterTouchesWhenObscured
postavljeno na true
, View
neće primati dodire kada je prozor prikaza zaklonjen drugim vidljivim prozorom.
setFilterTouchesWhenObscured
Atribut setFilterTouchesWhenObscured
postavljen na true takođe može sprečiti iskorišćavanje ove ranjivosti ako je verzija Android-a niža.
Ako je postavljeno na true
, na primer, dugme može automatski biti onemogućeno ako je zaklonjeno:
Najnovija Android aplikacija koja izvodi Tapjacking napad (+ pozivanje pre izvezene aktivnosti napadnute aplikacije) može se pronaći na: https://github.com/carlospolop/Tapjacking-ExportedActivity.
Pratite README uputstva za korišćenje.
Primer projekta koji implementira FloatingWindowApp, koji se može koristiti za postavljanje iznad drugih aktivnosti radi izvođenja clickjacking napada, može se pronaći na FloatingWindowApp (malo staro, srećno sa izradom apk).
Izgleda da ovaj projekat više nije održavan i ova funkcionalnost više ne radi ispravno
Možete koristiti qark sa --exploit-apk
--sdk-path /Users/username/Library/Android/sdk
parametrima za kreiranje zlonamerne aplikacije za testiranje mogućih Tapjacking ranjivosti.\
Mitracija je relativno jednostavna jer programer može odlučiti da ne prima dodirne događaje kada je prikaz pokriven drugim. Koristeći Android Developer’s Reference:
Ponekad je od suštinskog značaja da aplikacija može da verifikuje da se akcija vrši uz puno znanje i pristanak korisnika, kao što je odobravanje zahteva za dozvolu, kupovina ili klik na oglas. Nažalost, zlonamerna aplikacija bi mogla pokušati da prevari korisnika da izvrši ove akcije, nesvesno, prikrivanjem namene prikaza. Kao rešenje, okvir nudi mehanizam filtriranja dodira koji se može koristiti za poboljšanje bezbednosti prikaza koji pružaju pristup osetljivoj funkcionalnosti.
Da biste omogućili filtriranje dodira, pozovite
setFilterTouchesWhenObscured(boolean)
ili postavite android:filterTouchesWhenObscured atribut rasporeda na true. Kada je omogućeno, okvir će odbaciti dodire koji se primaju kada je prozor prikaza zaklonjen drugim vidljivim prozorom. Kao rezultat, prikaz neće primati dodire kada se iznad prozora prikaza pojavi toast, dijalog ili drugi prozor.
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)