点击劫持是标题再次抓住为谷歌发布12月6谷歌最新版本的Android移动操作系统增加了安全功能,(他们说)会变硬的Android到点击劫持攻击。
点击劫持的推移,很多名字,包括网络构架的攻击,但他们都意味着同样的事情:在他们的受害者为代价的大鳄利润。这次袭击是与相应的移动友好的网站成长更严重,特别是在这些网站还没有实现反 - 点击劫持代码。热心的智能手机用户信息安全的概念很少甚至更容易被点击劫持。
如何点击劫持的工作?
点击劫持是可能的,因为HTML网页看似无害的功能可以被用来执行意想不到的动作。的点击劫持页面诱骗用户点击一个链接隐藏在执行不需要的动作。在点击劫持网页,攻击者展示了一组虚拟按钮,然后在其上加载其他页面的透明层。该用户认为他们点击看不到按键,而他们实际上是在进行隐藏页面上的操作。攻击者可以诱骗用户该用户从未打算做执行动作,如
•执行非预期的金融交易。
•嵌入脚本,可以无需在用户不知情的执行。
•被重定向到恶意网站。
这里有些例子:
•用户收到一封电子邮件,链接到有关新闻项目的视频,但另一个有效的页面,请说E-bay.com一个产品页面顶部或新闻的“PLAY”按钮下方,可“隐藏”视频。用户尝试“玩”的视频,但实际上“买”,从电子海湾的产品。
•脸书用一个骗局是要求用户填写调查表的困扰。第三步要求输入个人信息,包括有机会赢得奖品的电话号码。在印刷精美的隐藏起来,然而,是一个条款,表示将要对用户收费,每周额外的$ 5他们的电话账单,作为所谓的部分“真棒测试。”
• 一种多贝遭受他们的插件设置页面点击插孔攻击。通过加载这个页面到一个无形的iframe中,攻击者可能诱骗用户改变对Flash的安全设置,从而允许任何Flash动画利用计算机的麦克风和摄像头。
仅供参考,斯坦福大学已经建立了他们所谓的强大的点击插孔方法自来水劫持用于研究目的。
Android的触摸过滤以减少点击劫持
这个功能应该是消除或过滤掉错误的触摸命令。从我读过,因为它的目的是防止用户界面从允许从而它们的功能正在被其它用户界面活动掩盖被启用安全敏感的功能概念是有效的。这是防止草率键控一个奇特的方式。由于点击劫持是基于让用户打本来不可能按键的点击的前提下,减少草率键控似乎是朝着降低点击劫持稳健的一步。
如何抵御移动点击劫持
防止点击劫持的两种主要方式是真正达到智能手机的操作系统厂商和最多的网站的经营者 - 特别是移动网站。它是由前者在用户界面部署防御性代码,以确保当前帧是最顶层窗口,并到后者发送正确的浏览器响应头指示不愿意被陷害,被称为帧 -断路器脚本。下面是最终用户如何保护自己:
•检查网页的URL - 熟悉你打算访问的页面的有效名称。
•确保让你的操作系统采用反点击劫持功能。
•确保你实现你的软件的所有安全补丁。
•从任何您的社交网络个人资料虚假链接。
•谨防免费服务或产品的优惠。
•这只是不劳而获的天敌。
有一个安全的一周。罗恩Lepofsky CISSP,CISMwww.ere-security.ca