Technique de codage sécurisée : parlons du Tapjacking
C'est exactement ce que signifie le tapjacking, une combinaison de « tap » et de « hijacking ». Il s'agit d'une attaque au cours de laquelle l'attaquant détourne les tapotements de l'utilisateur et l'incite à faire quelque chose dont il n'avait pas l'intention. Alors, comment cela fonctionne-t-il et comment l'éviter ?
Nous allons commencer notre histoire avec des superpositions d'écran. Superpositions d'écran ou, comme les appelle Google, fenêtres utilisant le type TYPE_APPLICATION_OVERLAY. Il s'agit de fenêtres dessinées au-dessus d'autres applications et qui ne masquent généralement qu'une partie de l'écran. Elles sont souvent utilisées (comme l'exemple d'image ci-dessous) lorsqu'une application demande de nouvelles autorisations.
Il s'agit en fait d'une fonctionnalité intéressante et amusante et de plus en plus d'applications commencent à l'utiliser. Pensez aux bulles de discussion de Facebook ou à la navigation sur Google Maps dans un coin de votre écran, comme dans la capture d'écran ci-dessous.
Cependant, ces superpositions présentent certains risques de sécurité. Toute superposition d'écran active peut écouter les tapotements. Sinon, comment Facebook pourrait-il savoir que nous avons tapé ou fait glisser la bulle ? Cela permet aux applications de vous espionner et de voler potentiellement des mots de passe et des données de carte de crédit.
Une étape plus loin, et c'est de là que vient le terme tapjacking, les superpositions peuvent dessiner des éléments au-dessus d'autres applications en incitant l'utilisateur à effectuer différentes actions. L'utilisateur pense qu'il interagit avec la superposition, mais en réalité, ses touches exécutent également des actions dans l'application sous-jacente. De cette façon, la superposition peut vous inciter à activer certaines autorisations ou à modifier certains paramètres dangereux, comme illustré dans ce ancienne vidéo YouTube.
La vidéo de démonstration ci-dessus a été mise en ligne sur YouTube en 2010, elle a donc été réalisée sur une ancienne version d'Android. Mais l'attaque est toujours d'actualité aujourd'hui, car vulnérabilités a été découvert qui permet le tapjacking dans les nouvelles versions d'Android telles que Nougat et Marshmallow.
Alors, que peux-tu y faire ? En tant qu'utilisateur, il est important de prendre conscience des conséquences de ces superpositions et de connaître les applications qui les utilisent. À partir du niveau d'API 23 (Android 6.0 Marshmallow), c'est devenu une autorisation qui doit être explicitement accordé par l'utilisateur. Cependant, cela laisse 50 % d'Androidles utilisateurs restent vulnérables. Vous pouvez toujours vérifier quelles applications utilisent cette autorisation dans les paramètres sous « Afficher sur d'autres applications ».
En tant que développeurs, il nous appartient de nous assurer que les actions des utilisateurs sont effectuées en toute connaissance de cause et avec leur consentement. Android fournit un paramètre pour vos vues qui font exactement cela, appelé Le filtre touche lorsqu'il est masqué. Lorsqu'il est activé, le framework supprime les touches reçues chaque fois que la fenêtre des vues est masquée par une autre fenêtre visible. C'est aussi simple que cela, réglez Le filtre se touche lorsqu'il est masqué à true, et votre application est protégée contre le tapjacking.
Bonne chance et à la semaine prochaine !
Il est parfois essentiel qu'une application soit en mesure de vérifier qu'une action est effectuée en toute connaissance de cause et avec le consentement de l'utilisateur, par exemple en accordant une demande d'autorisation, en effectuant un achat ou en cliquant sur une publicité. Malheureusement, une application malveillante pourrait tenter d'inciter l'utilisateur à effectuer ces actions sans le savoir, en dissimulant l'objectif de la vue.
https://developer.android.com/reference/android/view/View.html
Parfois, il est essentiel qu'une application soit en mesure de vérifier qu'une action est exécutée en toute connaissance de cause et avec le consentement de l'utilisateur
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
C'est exactement ce que signifie le tapjacking, une combinaison de « tap » et de « hijacking ». Il s'agit d'une attaque au cours de laquelle l'attaquant détourne les tapotements de l'utilisateur et l'incite à faire quelque chose dont il n'avait pas l'intention. Alors, comment cela fonctionne-t-il et comment l'éviter ?
Nous allons commencer notre histoire avec des superpositions d'écran. Superpositions d'écran ou, comme les appelle Google, fenêtres utilisant le type TYPE_APPLICATION_OVERLAY. Il s'agit de fenêtres dessinées au-dessus d'autres applications et qui ne masquent généralement qu'une partie de l'écran. Elles sont souvent utilisées (comme l'exemple d'image ci-dessous) lorsqu'une application demande de nouvelles autorisations.
Il s'agit en fait d'une fonctionnalité intéressante et amusante et de plus en plus d'applications commencent à l'utiliser. Pensez aux bulles de discussion de Facebook ou à la navigation sur Google Maps dans un coin de votre écran, comme dans la capture d'écran ci-dessous.
Cependant, ces superpositions présentent certains risques de sécurité. Toute superposition d'écran active peut écouter les tapotements. Sinon, comment Facebook pourrait-il savoir que nous avons tapé ou fait glisser la bulle ? Cela permet aux applications de vous espionner et de voler potentiellement des mots de passe et des données de carte de crédit.
Une étape plus loin, et c'est de là que vient le terme tapjacking, les superpositions peuvent dessiner des éléments au-dessus d'autres applications en incitant l'utilisateur à effectuer différentes actions. L'utilisateur pense qu'il interagit avec la superposition, mais en réalité, ses touches exécutent également des actions dans l'application sous-jacente. De cette façon, la superposition peut vous inciter à activer certaines autorisations ou à modifier certains paramètres dangereux, comme illustré dans ce ancienne vidéo YouTube.
La vidéo de démonstration ci-dessus a été mise en ligne sur YouTube en 2010, elle a donc été réalisée sur une ancienne version d'Android. Mais l'attaque est toujours d'actualité aujourd'hui, car vulnérabilités a été découvert qui permet le tapjacking dans les nouvelles versions d'Android telles que Nougat et Marshmallow.
Alors, que peux-tu y faire ? En tant qu'utilisateur, il est important de prendre conscience des conséquences de ces superpositions et de connaître les applications qui les utilisent. À partir du niveau d'API 23 (Android 6.0 Marshmallow), c'est devenu une autorisation qui doit être explicitement accordé par l'utilisateur. Cependant, cela laisse 50 % d'Androidles utilisateurs restent vulnérables. Vous pouvez toujours vérifier quelles applications utilisent cette autorisation dans les paramètres sous « Afficher sur d'autres applications ».
En tant que développeurs, il nous appartient de nous assurer que les actions des utilisateurs sont effectuées en toute connaissance de cause et avec leur consentement. Android fournit un paramètre pour vos vues qui font exactement cela, appelé Le filtre touche lorsqu'il est masqué. Lorsqu'il est activé, le framework supprime les touches reçues chaque fois que la fenêtre des vues est masquée par une autre fenêtre visible. C'est aussi simple que cela, réglez Le filtre se touche lorsqu'il est masqué à true, et votre application est protégée contre le tapjacking.
Bonne chance et à la semaine prochaine !
Il est parfois essentiel qu'une application soit en mesure de vérifier qu'une action est effectuée en toute connaissance de cause et avec le consentement de l'utilisateur, par exemple en accordant une demande d'autorisation, en effectuant un achat ou en cliquant sur une publicité. Malheureusement, une application malveillante pourrait tenter d'inciter l'utilisateur à effectuer ces actions sans le savoir, en dissimulant l'objectif de la vue.
https://developer.android.com/reference/android/view/View.html
C'est exactement ce que signifie le tapjacking, une combinaison de « tap » et de « hijacking ». Il s'agit d'une attaque au cours de laquelle l'attaquant détourne les tapotements de l'utilisateur et l'incite à faire quelque chose dont il n'avait pas l'intention. Alors, comment cela fonctionne-t-il et comment l'éviter ?
Nous allons commencer notre histoire avec des superpositions d'écran. Superpositions d'écran ou, comme les appelle Google, fenêtres utilisant le type TYPE_APPLICATION_OVERLAY. Il s'agit de fenêtres dessinées au-dessus d'autres applications et qui ne masquent généralement qu'une partie de l'écran. Elles sont souvent utilisées (comme l'exemple d'image ci-dessous) lorsqu'une application demande de nouvelles autorisations.
Il s'agit en fait d'une fonctionnalité intéressante et amusante et de plus en plus d'applications commencent à l'utiliser. Pensez aux bulles de discussion de Facebook ou à la navigation sur Google Maps dans un coin de votre écran, comme dans la capture d'écran ci-dessous.
Cependant, ces superpositions présentent certains risques de sécurité. Toute superposition d'écran active peut écouter les tapotements. Sinon, comment Facebook pourrait-il savoir que nous avons tapé ou fait glisser la bulle ? Cela permet aux applications de vous espionner et de voler potentiellement des mots de passe et des données de carte de crédit.
Une étape plus loin, et c'est de là que vient le terme tapjacking, les superpositions peuvent dessiner des éléments au-dessus d'autres applications en incitant l'utilisateur à effectuer différentes actions. L'utilisateur pense qu'il interagit avec la superposition, mais en réalité, ses touches exécutent également des actions dans l'application sous-jacente. De cette façon, la superposition peut vous inciter à activer certaines autorisations ou à modifier certains paramètres dangereux, comme illustré dans ce ancienne vidéo YouTube.
La vidéo de démonstration ci-dessus a été mise en ligne sur YouTube en 2010, elle a donc été réalisée sur une ancienne version d'Android. Mais l'attaque est toujours d'actualité aujourd'hui, car vulnérabilités a été découvert qui permet le tapjacking dans les nouvelles versions d'Android telles que Nougat et Marshmallow.
Alors, que peux-tu y faire ? En tant qu'utilisateur, il est important de prendre conscience des conséquences de ces superpositions et de connaître les applications qui les utilisent. À partir du niveau d'API 23 (Android 6.0 Marshmallow), c'est devenu une autorisation qui doit être explicitement accordé par l'utilisateur. Cependant, cela laisse 50 % d'Androidles utilisateurs restent vulnérables. Vous pouvez toujours vérifier quelles applications utilisent cette autorisation dans les paramètres sous « Afficher sur d'autres applications ».
En tant que développeurs, il nous appartient de nous assurer que les actions des utilisateurs sont effectuées en toute connaissance de cause et avec leur consentement. Android fournit un paramètre pour vos vues qui font exactement cela, appelé Le filtre touche lorsqu'il est masqué. Lorsqu'il est activé, le framework supprime les touches reçues chaque fois que la fenêtre des vues est masquée par une autre fenêtre visible. C'est aussi simple que cela, réglez Le filtre se touche lorsqu'il est masqué à true, et votre application est protégée contre le tapjacking.
Bonne chance et à la semaine prochaine !
Il est parfois essentiel qu'une application soit en mesure de vérifier qu'une action est effectuée en toute connaissance de cause et avec le consentement de l'utilisateur, par exemple en accordant une demande d'autorisation, en effectuant un achat ou en cliquant sur une publicité. Malheureusement, une application malveillante pourrait tenter d'inciter l'utilisateur à effectuer ces actions sans le savoir, en dissimulant l'objectif de la vue.
https://developer.android.com/reference/android/view/View.html
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
C'est exactement ce que signifie le tapjacking, une combinaison de « tap » et de « hijacking ». Il s'agit d'une attaque au cours de laquelle l'attaquant détourne les tapotements de l'utilisateur et l'incite à faire quelque chose dont il n'avait pas l'intention. Alors, comment cela fonctionne-t-il et comment l'éviter ?
Nous allons commencer notre histoire avec des superpositions d'écran. Superpositions d'écran ou, comme les appelle Google, fenêtres utilisant le type TYPE_APPLICATION_OVERLAY. Il s'agit de fenêtres dessinées au-dessus d'autres applications et qui ne masquent généralement qu'une partie de l'écran. Elles sont souvent utilisées (comme l'exemple d'image ci-dessous) lorsqu'une application demande de nouvelles autorisations.
Il s'agit en fait d'une fonctionnalité intéressante et amusante et de plus en plus d'applications commencent à l'utiliser. Pensez aux bulles de discussion de Facebook ou à la navigation sur Google Maps dans un coin de votre écran, comme dans la capture d'écran ci-dessous.
Cependant, ces superpositions présentent certains risques de sécurité. Toute superposition d'écran active peut écouter les tapotements. Sinon, comment Facebook pourrait-il savoir que nous avons tapé ou fait glisser la bulle ? Cela permet aux applications de vous espionner et de voler potentiellement des mots de passe et des données de carte de crédit.
Une étape plus loin, et c'est de là que vient le terme tapjacking, les superpositions peuvent dessiner des éléments au-dessus d'autres applications en incitant l'utilisateur à effectuer différentes actions. L'utilisateur pense qu'il interagit avec la superposition, mais en réalité, ses touches exécutent également des actions dans l'application sous-jacente. De cette façon, la superposition peut vous inciter à activer certaines autorisations ou à modifier certains paramètres dangereux, comme illustré dans ce ancienne vidéo YouTube.
La vidéo de démonstration ci-dessus a été mise en ligne sur YouTube en 2010, elle a donc été réalisée sur une ancienne version d'Android. Mais l'attaque est toujours d'actualité aujourd'hui, car vulnérabilités a été découvert qui permet le tapjacking dans les nouvelles versions d'Android telles que Nougat et Marshmallow.
Alors, que peux-tu y faire ? En tant qu'utilisateur, il est important de prendre conscience des conséquences de ces superpositions et de connaître les applications qui les utilisent. À partir du niveau d'API 23 (Android 6.0 Marshmallow), c'est devenu une autorisation qui doit être explicitement accordé par l'utilisateur. Cependant, cela laisse 50 % d'Androidles utilisateurs restent vulnérables. Vous pouvez toujours vérifier quelles applications utilisent cette autorisation dans les paramètres sous « Afficher sur d'autres applications ».
En tant que développeurs, il nous appartient de nous assurer que les actions des utilisateurs sont effectuées en toute connaissance de cause et avec leur consentement. Android fournit un paramètre pour vos vues qui font exactement cela, appelé Le filtre touche lorsqu'il est masqué. Lorsqu'il est activé, le framework supprime les touches reçues chaque fois que la fenêtre des vues est masquée par une autre fenêtre visible. C'est aussi simple que cela, réglez Le filtre se touche lorsqu'il est masqué à true, et votre application est protégée contre le tapjacking.
Bonne chance et à la semaine prochaine !
Il est parfois essentiel qu'une application soit en mesure de vérifier qu'une action est effectuée en toute connaissance de cause et avec le consentement de l'utilisateur, par exemple en accordant une demande d'autorisation, en effectuant un achat ou en cliquant sur une publicité. Malheureusement, une application malveillante pourrait tenter d'inciter l'utilisateur à effectuer ces actions sans le savoir, en dissimulant l'objectif de la vue.
https://developer.android.com/reference/android/view/View.html
Índice
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
