qbo*_*lec 12 security mobile phishing
想象一下,您的移动设备上安装的游戏X想要从社交网络Y访问您的帐户信息.假设Y公开了一些API,并具有"使用Y登录"等功能.在桌面PC X上可以弹出新的浏览器窗口,地址栏中清楚地显示Y的域名,带有明确指示SSL连接的挂锁图标,在此弹出窗口中,社交网络Y会要求用户提供登录,密码和协议以传递一些信息(如姓名,头像,电子邮件)到应用程序X.例如,OAuth 2使用这种方法.
在我看来,在移动设备上情况相当不同,因为应用程序X可以控制整个屏幕.特别是它可以在设备的屏幕上绘制与真实浏览器无法区分的东西,并劫持用户提供的登录和密码.
如何打击覆盖整个屏幕并伪装成浏览器甚至操作系统设置窗口等的恶意应用程序?
即使在桌面上也没有针对此问题的技术防御措施。模仿浏览器的外观并将绿色 SSL 锁绘制到假地址栏中是很简单的。或者,您可以简单地在应用程序中包含一个按键记录器,以获取在同一系统上的任何应用程序中输入的密码。
对于移动应用程序来说,包含键盘记录器更困难。绘制令人信服的假浏览器窗口很容易。另一种防御措施是应用程序商店的审核过程。官方应用商店作为可信应用程序的唯一来源在一定程度上缓解了此类问题。虽然恶意应用程序可能会溜过任何审查流程,但一旦被发现就可以将其删除。
| 归档时间: |
|
| 查看次数: |
621 次 |
| 最近记录: |