보안 코딩 기법: 탭재킹에 대해 알아보겠습니다.

“탭”과 “하이재킹”의 조합인 탭재킹이 바로 그 의미입니다.공격자가 사용자의 탭을 하이재킹하고 의도치 않은 일을 하도록 속이는 공격입니다.그러면 어떻게 작동하고 어떻게 방지할 수 있을까요?

화면 오버레이로 이야기를 시작하겠습니다.화면 오버레이 또는 구글에서 부르는 것처럼 TYPE_APPLICATION_OVERLAY 유형을 사용하는 창. 이러한 창은 다른 앱 위에 그려지는 창으로 대개 화면의 일부만 가립니다.이는 앱에서 새 권한을 요청할 때 자주 사용됩니다 (아래 예제 이미지 참조).

이 기능은 정말 멋지고 재미있습니다. 점점 더 많은 앱에서 이 기능을 사용하기 시작했습니다. 아래 스크린샷처럼 Facebook의 채팅 풍선이나 화면 구석에 있는 Google 지도 내비게이션을 생각해 보세요.

그러나 이러한 오버레이에는 몇 가지 보안 위험이 따릅니다.활성화된 화면 오버레이는 탭 소리를 들을 수 있는데, 그렇지 않으면 페이스북이 우리가 버블을 탭하거나 드래그했다는 것을 어떻게 알 수 있을까요?이렇게 하면 앱이 사용자를 염탐하고 잠재적으로 비밀번호와 신용카드 데이터를 훔칠 수 있습니다.

한 걸음 더 나아가 탭재킹이라는 용어의 유래가 바로 여기에 있습니다. 오버레이는 다른 앱 위에 사용자를 속여 다양한 작업을 수행하도록 유도할 수 있습니다.사용자는 자신이 오버레이와 상호작용하고 있다고 생각하지만 실제로는 탭이 기본 앱에서 작업을 수행하기도 합니다.이렇게 하면 오버레이가 사용자를 속여 특정 권한을 활성화하거나 일부 위험한 설정을 변경할 수 있습니다 (아래 설명 참조). 오래된 유튜브 비디오.

위의 데모 영상은 2010년에 유튜브에 업로드된 것이므로 이전 버전의 Android에서 진행되었습니다.하지만 이 공격은 오늘날에도 여전히 유효합니다. 취약성이 있습니다 Nougat 및 Marshmallow와 같은 최신 버전의 Android에서 탭재킹을 허용하는 기능이 밝혀졌습니다.

그럼 어떻게 할 수 있을까요?사용자로서 이러한 오버레이의 결과를 이해하고 오버레이를 사용하는 앱을 알아두는 것이 중요합니다.API 레벨 23 (Android 6.0 마시멜로) 부터 이 권한은 다음과 같은 권한이 되었습니다. 사용자가 명시적으로 권한을 부여해야 합니다..하지만, 그걸로 남아요 안드로이드의 50%사용자는 여전히 취약합니다.'다른 앱 위에 표시' 아래의 설정에서 어떤 앱이 이 권한을 사용하는지 여전히 확인할 수 있습니다.

개발자로서 사용자의 행동이 사용자의 충분한 지식과 동의를 얻어 수행되도록 하는 것은 우리의 책임입니다.Android는 뷰에 바로 이러한 작업을 수행할 수 있는 설정을 제공합니다. 가려진 경우 터치를 필터링합니다. 이 기능이 활성화되면 프레임워크는 뷰 창이 다른 보이는 창으로 인해 가려질 때마다 수신된 터치를 버립니다.아주 간단합니다. 다음과 같이 설정하세요. 가려진 경우 터치 필터링 true로 설정하면 앱이 탭재킹으로부터 안전합니다.

행운을 빕니다. 다음 주에 만나요!

때로는 권한 요청 승인, 구매 또는 광고 클릭과 같은 작업이 사용자의 완전한 지식과 동의를 얻어 수행되고 있는지 애플리케이션이 확인할 수 있어야 하는 경우가 있습니다.안타깝게도 악성 애플리케이션은 뷰의 의도된 목적을 숨기고 자신도 모르는 사이에 사용자가 이러한 작업을 수행하도록 속이려 할 수 있습니다.

https://developer.android.com/reference/android/view/View.html