作者 | 漏洞404
编辑 | L
[漏洞404] 学习文章
网络安全需要你我共同努力
如需转载,请联系平台
APP作为个人信息处理的重要载体,已成为监管重点,如不履行隐私合规义务,将会面临行政处罚与民事责任的双重后果。APP运营者需要主动合规、实质合规,以满足日益严格的监管要求。
app客户端评估-键盘记录保护
测试描述
在用户输入账号或密码的时候,可以通过记录屏幕触点位置,按键阴影,甚至直接替换系统输入法的方式,对用户数据的关键信息进行键盘记录。因此为了防止键盘记录,需要在必要的地方使用自定义软键盘,防止攻击者通过替换系统输入法的方式进行键盘劫持。并且自定义软键盘的键位需要随机,无按键阴影,以防止攻击者通过记录屏幕触点或截图,进行键盘记录。
关于app键盘劫持相关文章
https://www.jianshu.com/p/ed63f5706b3b
测试工具
任意模拟器、手机、搜狗输入法、或其他输入法
检查方法
安装下载搜狗输入法
首先安搜狗输入法,并且将输入法设置为系统默认输入法
开始测试:
在测试 APP 的登录功能中输入密码进行测试,检查 APP 是否有使用键位打乱的自定义键盘,然后再观察在输入时是否存在按键阴影以及输入框中是否有内容回显:
风险判定
中风险:
无使用自定义键盘,或自定义键盘无打乱键位顺序,输入时有键位阴影或输入框有内容回显
低风险:
有使用自定义键盘,但存在以下缺陷之一:
1、键位未打乱
2、有键位阴影、输入框有内容回显
无风险:
已使用键位打乱的自定义键盘,输入时无键位阴影以及输入框无内容回显,且密码无法截屏。
修复方案
1、使用键位随机的自定义软键盘
2、自定义软键盘不产生按键阴影,不对按键字符进行回显
3、输入框不对输入字符进行回显
其实这种app键盘保护的app,一般都是适用于比较高防护的app上,例如:招商、工商、中国银行、农业银行...等各大银行中都会用到这种保护措施,不信各位可以去看看自己银行app键盘安全措施,但是一般如:微信、qq等类似于民用或者偏向商用的软件都不会做这样的安全措施,因为这样做影响用户体验,外加这个安全问题,本身危害就不大,利用困难。
原文始发于微信公众号(漏洞404):app客户端评估-键盘安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论