当前位置: 首页 > 棒电视 > 梆梆安全移动应用开发手札之反界面劫持

梆梆安全移动应用开发手札之反界面劫持


/ 2015-03-16

晓得了道理,对界面劫持的防备方式也就清晰了,好比要拦截恶意者的,封堵日记缝隙等等。若是挪动使用开辟者在开辟APP的过程中利用

界面劫持分为界面劫持和垂钓两部门。恶意法式会对方针使用的客户端进行,当使用客户端法式挪用Acitivity组件显示窗口,且该窗口界面组件是恶意法式预设的对象,恶意法式就会当即启动本人的仿冒界面使之替代或笼盖在客户端法式界面之上,这就是界面劫持。恶意者在策动界面劫持后,用户所面临并操作的其实曾经是被替代后的仿冒页面,这意味着用户在毫无察觉的环境下将本人的账号、暗码等消息输入到了仿冒界面中,这些梆数据最终会前往到恶意法式的办事器里,这个过程即是垂钓。

梆平安的防界面劫持插件可以或许对API组件进行全方位,当APP客户端运转时对Acitivity组件进行,若是发觉系统所挪用的界面了笼盖操作,就会当即提醒用户可能具有平安风险,不要输入消息,由此实现对恶意者从API所倡议界面劫持的拦截。

其实,

界面劫持类由来已久,并且这类次要对准了用户的金融类买卖操作。晚期的收集垂钓所仿冒的页面要么唱工粗拙要么,细心分辩总能发觉一些眉目出来。而界面劫持所仿冒的页面绝对属于“高仿”级别,独一的区别可能就是页面后台用户输入数据的发送标的目的是恶意者的邮箱,而非真正的金融办事端。当用户在这类页面输入了本人的用户名、银行卡账号、暗码等消息点击确定按钮后,并不会发生用户所等候的领取、转账等实在操作,恶意者的电子邮箱才是这类数据的起点。很多垂钓类恶意法式都可能采纳这种“界面劫持”的体例:在后台前台窗口运转,若是前台是一个银行使用登岸界面,恶意法式就当即启动本人的仿冒界面实施欺诈。操纵仿冒界面来进行垂钓,正在成为一种显著而无效的恶意体例。在这类之下,用户等于“拱手相让”了本人银行账户的节制权,而挪动使用也将背负上难以洗脱的。

界面劫持,顾名思义就是一般使用的界面被恶意者劫持,替代上仿冒的恶意界面。界面劫持类极具性很难被识别出来,界面劫持不只会给用户带来严峻丧失,更是挪动使用开辟者们的。好动静是,通过本篇

若何才能避免界面劫持,不要让挪动使用被其“鬼上身”呢?

梆平安专家引见,界面劫持手法包罗系统Logocat日记、系统API等多种体例,一旦到发生界面切换行为,即进行,笼盖上冒充界面实施。大大都Android系统在界面切换时,会由ActivityManagerService打印出包含了界面消息的日记文件,恶意法式能够通过Logocat获取这些消息,从而客户端的启动。现实上,此刻很多设备和系统都具有日记泄露的平安问题。别的,系统API也是恶意者所采用的一种次要体例,一旦恶意法式到相关界面的API组件挪用,即可倡议。手机银行这类金融APP的登录界面、转账界面等都是恶意者的次要方针。

梆平安挪动使用开辟手札开辟者会发觉,借助平安插件能够无效防备APP界面劫持。

梆平安友谊提醒,吃透界面劫持道理,合理操纵防界面劫持插件,为可能界面劫持的金融、买卖等类APP实施无效的平安防护,再共同挪动使用平安加固手艺,即可用户消息、财政免遭盗窃。

别的,

梆平安的平安加固方案可以或许敌手机、系统、APP本身所具有的日记打印输出缝隙进行无效节制,防备因日记缝隙而导致的界面劫持。同时平安加固方案还能从外层对防界面劫持插件本身进行再,防备插件或而被去掉,使其无法无效抵御界面劫持。

相关文章

推荐阅读
地图