被很多媒体称为“世界第一黑客”的凯文·米特尼克(Kevin David Mitnick)有一本著作The Art of Deception(中文版大概是因为要避免某些异常检测的缘故,改成了《反欺骗的艺术》,颇有一点皇帝的新装的感觉),讲了很多社会工程学方面的内容。尽管很有趣,但是从研究的角度,我们希望对各种欺骗手段和相关的防护手段进行系统化的研究,将艺术变成牢固的科学知识。今天我们就从刚刚结束的ASIA CCS 2022会议上为大家挑选了一篇SoK论文——The Evolution of Trusted UI on Mobile,其中系统化地总结了针对移动终端(特别是Android平台)上UI欺骗和防护的相关知识。
经常使用桌面浏览器访问(好人一生平安)网站的读者,一定有很多网页UI上点击欺诈的经验,明明点击的是一个登陆按钮,结果弹出来一堆不可描述的广告。在移动平台上,其实问题同样存在。在这篇只有一位作者的论文中,Davide Bove(很酷的一位研究人员)对Android平台上用户频繁使用的UI存在的安全风险、攻击以及对应的防护方案进行了系统性总结。作者首先总结了6类相关问题(Issue),然后总结了13类常见的防护方案:
对已知的六类问题,作者主要根据其针对的威胁模型和攻击特点,将这些问题分为两大类:一类是UI无法明确显示出当前运行的应用导致的欺诈,另一类则是攻击者可以控制UI输入导致的劫持。
举个例子,在手机上,当你正在访问网页或者玩游戏的时候,突然弹出来下图这样的窗口提示你输入信用卡信息,其实用户并不能区分这个窗口到底属于哪个应用。如果用户以为这个弹窗就是当前应用的UI,那很可能会被攻击者钓鱼:
除了这种界面覆盖的欺诈行为,另一类比较典型的攻击滥用了Android系统提供的无障碍服务功能(https://developer.android.google.cn/guide/topics/ui/accessibility/service?hl=zh-cn)。本来无障碍服务功能只是为了方便特殊人群的操作,却被攻击者利用去执行一些UI的输入,这就很让人讨厌了!
针对这些问题,作者分别从APP、操作系统和TEE的角度去探讨现有的防御机制。在没有OS和可信硬件帮助的情况下,很多APP依然需要对UI欺骗攻击进行防护(特别是银行类APP),因此开发人员也想了很多办法去检测可能的攻击,例如下图展示的Overlay Detection就是一种方法(StackOverflow还有人讨论过,在Android API level 29中引入的FLAG_WINDOW_IS_PARTIALLY_OBSCURED可以更好地帮助检测:https://developer.android.google.cn/reference/android/view/MotionEvent.html#FLAG_WINDOW_IS_PARTIALLY_OBSCURED)
除了APP层面的检测,在OS层面和TEE层面,Google和Android设备厂商都做了相关的防护工作,例如使用了独立隔离环境来提示用户的可信UI:
作者最后对各种防护方案进行了总结(见下表):
我们强烈推荐大家在读论文的时候观看作者Davide Bove的presentation视频:
https://dl.acm.org/action/downloadSupplement?doi=10.1145%2F3488932.3517417&file=ASIA-CCS22-fp367.mp4
最后,我们注意到作者在论文和slides中都采用了知识共享许可协议(CC)4.0协议,我们也希望学术界能尽快进入到知识全面自由分享的时代!
论文PDF:
https://dl.acm.org/doi/10.1145/3488932.3517417
Slides:
https://faui1-files.informatik.uni-erlangen.de/public/publications/sok-evolution-slides.pdf
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2022-06-08
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论