Tapjacking
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Tapjacking — це атака, під час якої шкідлива додаток запускається і розташовується поверх додатку жертви. Як тільки він видимо закриває додаток жертви, його інтерфейс користувача спроектований таким чином, щоб обманути користувача взаємодіяти з ним, в той час як він передає взаємодію до додатку жертви. Таким чином, він осліплює користувача, не даючи йому знати, що він насправді виконує дії в додатку жертви.
Щоб виявити додатки, вразливі до цієї атаки, вам слід шукати експортовані активності в маніфесті android (зверніть увагу, що активність з intent-filter автоматично експортується за замовчуванням). Як тільки ви знайдете експортовані активності, перевірте, чи потребують вони будь-яких дозволів. Це пов'язано з тим, що шкідливий додаток також потребуватиме цього дозволу.
Згідно з цим джерелом, атаки tapjacking автоматично запобігаються Android з Android 12 (API 31 & 30) та вище. Тож, навіть якщо додаток вразливий, ви не зможете його експлуатувати.
filterTouchesWhenObscured
Якщо android:filterTouchesWhenObscured
встановлено на true
, View
не буде отримувати дотики, коли вікно перегляду закрите іншим видимим вікном.
setFilterTouchesWhenObscured
Атрибут setFilterTouchesWhenObscured
, встановлений на true, також може запобігти експлуатації цієї вразливості, якщо версія Android нижча.
Якщо встановлено на true
, наприклад, кнопку можна автоматично відключити, якщо вона закрита:
Найбільш сучасний Android додаток, що виконує атаку Tapjacking (+ виклик перед експортованою активністю атакованого додатку) можна знайти за адресою: https://github.com/carlospolop/Tapjacking-ExportedActivity.
Слідуйте інструкціям README для його використання.
Приклад проекту, що реалізує FloatingWindowApp, який можна використовувати для накладення на інші активності для виконання атаки clickjacking, можна знайти в FloatingWindowApp (трохи старий, удачі в створенні apk).
Схоже, що цей проект зараз не підтримується і ця функціональність більше не працює належним чином
Ви можете використовувати qark з параметрами --exploit-apk
--sdk-path /Users/username/Library/Android/sdk
, щоб створити шкідливий додаток для перевірки можливих вразливостей Tapjacking.\
Пом'якшення є відносно простим, оскільки розробник може вибрати не отримувати події дотику, коли вид покритий іншим. Використовуючи Довідник розробника Android:
Іноді важливо, щоб додаток могло перевірити, що дія виконується з повним усвідомленням і згодою користувача, наприклад, надання запиту на дозвіл, здійснення покупки або натискання на рекламу. На жаль, шкідливий додаток може спробувати обманути користувача, змусивши його виконати ці дії, не усвідомлюючи цього, приховуючи справжню мету виду. Як remedy, фреймворк пропонує механізм фільтрації дотиків, який можна використовувати для покращення безпеки видів, що надають доступ до чутливої функціональності.
Щоб увімкнути фільтрацію дотиків, викликайте
setFilterTouchesWhenObscured(boolean)
або встановіть атрибут макета android:filterTouchesWhenObscured в true. Коли це увімкнено, фреймворк відкине дотики, які отримуються, коли вікно виду закрите іншим видимим вікном. В результаті вид не отримає дотики, коли над вікном виду з'являється тост, діалог або інше вікно.
Вчіться та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вчіться та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)