Tapjacking
Maelezo Msingi
Tapjacking ni shambulio ambapo programu mbaya inazinduliwa na kujipanga juu ya programu ya mwathiriwa. Mara tu inapofunika programu ya mwathiriwa, kiolesura chake cha mtumiaji kimeundwa kwa njia ambayo inadanganya mtumiaji kuingiliana nacho, wakati inapitisha uingiliano kwa programu ya mwathiriwa. Kimsingi, inamfanya mtumiaji ashindwe kujua kwamba wanafanya vitendo kwenye programu ya mwathiriwa.
Uchunguzi
Ili kugundua programu zinazoweza kushambuliwa na hili, unapaswa kutafuta shughuli zilizotolewa kwenye mwongozo wa android (kumbuka kwamba shughuli na intent-filter zinazotolewa kwa chaguo-msingi). Mara baada ya kupata shughuli zilizotolewa, angalia kama zinahitaji idhini yoyote. Hii ni kwa sababu programu mbaya itahitaji idhini hiyo pia.
Kinga
Android 12 (API 31,32) na zaidi
Kulingana na chanzo hiki, mashambulio ya tapjacking yanazuiliwa moja kwa moja na Android kutoka Android 12 (API 31 & 30) na zaidi. Kwa hivyo, hata kama programu inaweza kuwa na kasoro hutaweza kuitumia.
filterTouchesWhenObscured
filterTouchesWhenObscured
Ikiwa android:filterTouchesWhenObscured
imewekwa kuwa kweli
, View
haitapokea kugusa wakati dirisha la maoni linapofunikwa na dirisha lingine linaloonekana.
setFilterTouchesWhenObscured
setFilterTouchesWhenObscured
Sifa setFilterTouchesWhenObscured
ikiwekwa kuwa kweli inaweza pia kuzuia kutumia kasoro hii ikiwa toleo la Android ni la chini.
Ikiwekwa kuwa kweli
, kwa mfano, kitufe kinaweza kulemazwa moja kwa moja ikiwa kimefunikwa:
Utekaji
Tapjacking-ExportedActivity
Programu ya hivi karibuni ya Android inayotekeleza shambulio la Tapjacking (+ kuita kabla ya shughuli iliyotolewa ya programu iliyoshambuliwa) inaweza kupatikana hapa: https://github.com/carlospolop/Tapjacking-ExportedActivity.
Fuata maagizo ya README ili kuitumia.
FloatingWindowApp
Mradi wa mfano unaoendeleza FloatingWindowApp, ambao unaweza kutumika kuweka juu ya shughuli zingine kutekeleza shambulio la clickjacking, unaweza kupatikana hapa FloatingWindowApp (kidogo umri, bahati njema kujenga apk).
Qark
Inaonekana kama mradi huu sasa hauendelezwi tena na hii kazi haifanyi kazi ipasavyo tena
Unaweza kutumia qark na vigezo --exploit-apk
--sdk-path /Users/username/Library/Android/sdk
ili kuunda programu yenye nia mbaya kufanya majaribio ya uwezekano wa mapungufu ya Tapjacking.
Kupunguza hatari ni rahisi kwa sababu mwandishi wa programu anaweza kuchagua kutokupokea matukio ya kugusa wakati maoni yanafunikwa na mengine. Kutumia Marejeleo ya Developer wa Android:
Mara kwa mara ni muhimu kwamba programu iweze kuthibitisha kwamba hatua inafanywa kwa idhini kamili ya mtumiaji, kama vile kutoa ombi la idhini, kufanya ununuzi au bonyeza tangazo. Kwa bahati mbaya, programu inayodhuru inaweza kujaribu kudanganya mtumiaji kufanya hatua hizi, bila kujua, kwa kuficha lengo la maoni. Kama tiba, mfumo hutoa mbinu ya kuchuja kugusa ambayo inaweza kutumika kuboresha usalama wa maoni yanayotoa ufikiaji wa kazi nyeti.
Ili kuwezesha kuchuja kugusa, piga simu
setFilterTouchesWhenObscured(boolean)
au weka sifa ya mpangilio ya android:filterTouchesWhenObscured kuwa kweli. Ikiwa imeanzishwa, mfumo utatupa kugusa zinazopokelewa wakati wowote dirisha la maoni linapositishwa na dirisha lingine linaloonekana. Matokeo yake, maoni hayatapokea kugusa wakati wowote toast, dirisha au dirisha lingine linaonekana juu ya dirisha la maoni.
Last updated