恶意程序利用Android漏洞点击劫持

Sammi888

作者：趋势科技
通过社会工程学陷阱技巧，开发者可以建立一个应用程序用来诱骗用户点击特制的应用程序弹出窗口，让它成为多种威胁的入口，这种攻击被称为点击劫持（Tapjacking），利用了 Android 用户界面组件内的一个漏洞。
这技术并不是很复杂，但会对 Android 用户造成严重的安全问题。在介绍点击劫持的细节前，先简单解释一下这个 UI 漏洞的出处。
应用程序活动（Activity）简介
Android 显示的 UI 元素以活动（Activity）为单位。活动是一个会占据整个屏幕大小的系统组件，可以容纳很多不同的视图（View），视图则是指显示在设备屏幕上的一块矩形区域。
下面是一个活动的例子，它包含两个视图，即（1）文字视图，这是用户可以输入文字的地方。还有（2）按钮，让用户点（或碰触）。如下所示，一个活动可能会占据整个屏幕，即使很大一部分是空的（或黑色）。下面是应用程序 WarGames 的一个活动的截图（注：此截图并非来自恶意应用程序）：

  

一个应用程序可能有好几个活动，每个活动代表一个 UI 元素，可能会占用整个屏幕。操作系统利用被称为堆栈（Stack）的数据结构来管理不同的活动，最新的活动会显现在堆栈的顶端，而旧活动则会位于它下面。当前出现的活动始终都会显现在顶端，是唯一可以响应用户操作的活动。
在大多数情况下，应用程序被设计成显示一个新活动，借此显示可能会占据整个屏幕的新 UI。不过也有例外。在某些情况下，一个应用程序可以只显示视图，不需要将视图放在活动内部。这些例外就是对话框视图（Dialog View）和通知信息视图（Toast View）。
对话框视图和通知信息视图之间的差异
对话框视图主要是让应用程序与用户互动。这是个双向的互动：对话框会显示一些信息给用户，用户可以输入文字或点击小工具组件，例如对按钮做出响应。而且因为对话框视图是临时的，因此被设计成尽可能小，让用户仍然可以看到背后是什么。但用户还是不能跟对话框遮挡住的活动进行互动。
至于通知信息视图就更有趣了。根据 Android 的定义，通知信息提供了“关于在一个小的弹出窗口内的操作的简单回应”。通常它只会占据信息所需的空间，而且用户还是可以跟它背后的活动互动。下面是一个范例：



取决于应用程序和开发者的设计，通知信息视图可能会显示一段简短信息（见上图）。但它的大小并不是固定的。开发者可以自由设计自己的应用程序来显示较大的通知信息视图，甚至可以像下图这样包含图片。



现在是耐人寻味的部分出现了。能够在视图内显示任何图片，这会导致许多可能性。因为通知信息视图只是将用户轻触或滑动的行为带给背后的活动，阴险的开发者可以用吸引人的图片（例如色情图片，明星照片等）或假 UI 作为诱饵，让用户和隐藏活动进行互动。这可能会让用户陷入各种威胁中，例如下载恶意应用程序，在线购买，注册增值服务，甚至抹除整个操作系统。
但使用通知信息作为诱饵有个先决条件。通知信息视图通常被设计为只能短时间显示，可能只会出现几秒钟。为了有效将通知信息视图用在攻击中，它在屏幕上停留的时间必须超过几秒钟。
虽然有阻碍，但这问题并不会阻挡一切。为了绕过这个限制，恶意开发人员可以使用定时器。定时器是由 Android SDK 所提供，可以在预先定义好的时间运行一段程序代码。坏人可以使用定时器来让它在屏幕上消失前重新出现。
因为恶意程序只使用点击劫持方式欺骗用户，本身并不执行任何恶意行为，因此这些应用程序不需要在设备上取得任何权限。这对安全研究人员和防毒产品来说可能是个挑战，有问题的应用程序可能除了显示这些视图外不做任何事，要单靠静态程序代码分析来标记恶意应用程序将会有所困难。
根据我们的研究，这个威胁会影响到所有运行早期姜饼人系统的 Android 设备（早于 2.3 的版本）。Google 为开发人员提供了一个方法来解决这一漏洞，让视图在被另外一个视图覆盖后能防止互动事件，从而消除了用户与隐藏视图进行交互的可能性。
然而这个新功能只能用在两方面：（1）将 filterTouchesWhenObscured 属性设为 true，或（2）实施 onFilterTouchEventForSecurity 方法。这需要开发者明确修改自己的程序，而很有可能的是，并非每个开发人员都能意识到这一点。更重要的是，用户需要同时将操作系统和应用程序都更新到最新版本才能防止这种攻击。
总之，点击劫持威胁并非不存在，而且可能会存在相当长的一段时间。

趋势科技移动安全软件个人版 免费下载：http://www.trendmicro.com.cn/pcc ... ty-for-android.html

＠原文出处：Tapjacking: An Untapped Threat in Android



本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！

爱趋势社区--下载/论坛/分享  http://www.iqushi.com

官方微博—拿礼品/分享最新IT资讯http://t.sina.com.cn/trendcloud

趋势科技CEO：陈怡桦EvaChen的微博http://weibo.com/evatrendmicro

maomao110

o(︶︿︶)o 唉    AVG的官人要像趋势科技的官人一样  定期发发安全播报该有多好

firethreat

猫猫又叹气了。。。AVG的安卓版蛮简单的，感觉。。。不过国内安卓受攻击的实际案例没见过。。我孤陋寡闻了。。。。。

塔影青玄

其实对于一般的手机而言，防病毒软件只是个心理安慰。，

maomao110

firethreat 发表于 2013-1-23 19:06
猫猫又叹气了。。。AVG的安卓版蛮简单的，感觉。。。不过国内安卓受攻击的实际案例没见过。。我孤陋寡闻了。 ...

幸好猫猫有回访的习惯  看到了乃的留言
话说现在AVG的官人每天都偷偷的上卡饭  然后一会儿就下线了  也不说话

firethreat

maomao110 发表于 2013-1-23 21:40
幸好猫猫有回访的习惯  看到了乃的留言
话说现在AVG的官人每天都偷偷的上卡饭  然后一会儿就下线 ...

猫猫知道的太多了。。。。这样下去官人会被你逼出来的