Tapjacking

Basic Information

Tapjacking je napad gde se maliciozna aplikacija pokreće i pozicionira iznad aplikacije žrtve. Kada vidljivo zakloni aplikaciju žrtve, njen korisnički interfejs je dizajniran na način da prevari korisnika da interaguje sa njom, dok zapravo prosleđuje interakciju aplikaciji žrtve. U suštini, to oslepljuje korisnika da ne zna da zapravo izvršava radnje na aplikaciji žrtve.

Detection

Da biste otkrili aplikacije ranjive na ovaj napad, trebali biste tražiti izvezene aktivnosti u android manifestu (napomena: aktivnost sa intent-filter-om se automatski izveze po defaultu). Kada pronađete izvezene aktivnosti, proverite da li zahtevaju neku dozvolu. To je zato što će maliciozna aplikacija takođe trebati tu dozvolu.

Protection

Android 12 (API 31,32) i više

Prema ovom izvoru, napadi tapjacking-a se automatski sprečavaju od strane Android-a od Android 12 (API 31 & 30) i više. Dakle, čak i ako je aplikacija ranjiva, nećete moći da je iskoristite.

filterTouchesWhenObscured

Ako je android:filterTouchesWhenObscured postavljeno na true, View neće primati dodire kada je prozor prikaza zaklonjen drugim vidljivim prozorom.

setFilterTouchesWhenObscured

Atribut setFilterTouchesWhenObscured postavljen na true takođe može sprečiti iskorišćavanje ove ranjivosti ako je verzija Android-a niža. Ako je postavljeno na true, na primer, dugme može automatski biti onemogućeno ako je zaklonjeno:

<Button android:text="Button"
android:id="@+id/button1"
android:layout_width="wrap_content"
android:layout_height="wrap_content"
android:filterTouchesWhenObscured="true">
</Button>

Eksploatacija

Tapjacking-ExportedActivity

Najnovija Android aplikacija koja izvodi Tapjacking napad (+ pozivanje pre izvezene aktivnosti napadnute aplikacije) može se pronaći na: https://github.com/carlospolop/Tapjacking-ExportedActivity.

Pratite README uputstva za korišćenje.

FloatingWindowApp

Primer projekta koji implementira FloatingWindowApp, koji se može koristiti za postavljanje iznad drugih aktivnosti radi izvođenja clickjacking napada, može se pronaći u FloatingWindowApp (malo staro, srećno sa izradom apk).

Qark

Možete koristiti qark sa --exploit-apk --sdk-path /Users/username/Library/Android/sdk parametrima da kreirate zloćudnu aplikaciju za testiranje mogućih Tapjacking ranjivosti.\

Mitracija je relativno jednostavna jer programer može odlučiti da ne prima dodirne događaje kada je prikaz pokriven drugim. Koristeći Android Developer’s Reference:

Ponekad je od suštinskog značaja da aplikacija može da verifikuje da se akcija vrši uz puno znanje i pristanak korisnika, kao što je odobravanje zahteva za dozvolu, kupovina ili klik na oglas. Nažalost, zloćudna aplikacija bi mogla pokušati da prevari korisnika da izvrši ove akcije, nesvesno, prikrivajući namenu prikaza. Kao rešenje, okvir nudi mehanizam filtriranja dodira koji se može koristiti za poboljšanje bezbednosti prikaza koji pružaju pristup osetljivoj funkcionalnosti.

Da biste omogućili filtriranje dodira, pozovite setFilterTouchesWhenObscured(boolean) ili postavite android:filterTouchesWhenObscured atribut rasporeda na true. Kada je omogućeno, okvir će odbaciti dodire koji se primaju kada je prozor prikaza zaklonjen drugim vidljivim prozorom. Kao rezultat, prikaz neće primati dodire kada se iznad prozora prikaza pojavi toast, dijalog ili drugi prozor.