Come viene impedito il "Touch Jacking" su iOS, Android e Win 10 - touch?

4

Sto osservando la sicurezza di iOS e Android da una prospettiva di sicurezza di Touch-jacking. In altre parole, mi aspetto che un'applicazione possa essere in uno stato sicuro per garantire che nessuna sovrapposizione, acquisizione dello schermo o altro modo di filtrare i dati dello schermo a un'app non autorizzata.

Ad esempio, desidero garantire che la voce PIN di Goodlink Secure Email sia distribuita su un sistema operativo che supporti una protezione ragionevole contro tale malware .

  • L'architettura di iOS consente tale sicurezza?
  • L'architettura di Android consente tale sicurezza?
  • L'architettura di Windows Mobile (Windows 10) consente tale sicurezza?

Poiché mi è consentita una sola risposta accettata, se qualcuno aggiunge informazioni relative agli altri sistemi operativi e la risposta accettata non la rispetta, restituirò e assegnerò una taglia considerevole per ciascuna risposta.

    
posta random65537 19.08.2015 - 03:04
fonte

3 risposte

4

Ecco una risposta StackOverflow per Android :

The tapjacking attack has been blocked at the OS level since Android 4.0. For such devices, you do not need to do anything to prevent tapjacking attacks.

android:filterTouchesWhenObscured="true" helps on API Levels 9-13. It did not exist prior to that, and so that attribute will be ignored on older devices, if you are supporting those.

Questo nuovo articolo (traduzione inglese fornita in fondo al link) afferma che l'impostazione di questi parametri su una finestra :

– LayoutParams.FLAG_NOT_FOCUSABLE (the window can’t receive the focus)

– LayoutParams.FLAG_NOT_TOUCHABLE (touch events will never be transmitted to this window)

– LayoutParams.FLAG_NOT_TOUCH_MODAL (touch events will automatically be transmitted to the underlying activity)

consentirà il touchjacking. Sostengono di averlo testato su Android 4.3 e 4.4. Se questo è corretto (non l'ho testato), Android è suscettibile al touchjacking. (Se verifichi questo, fammi sapere nei commenti quali sono i tuoi risultati e li aggiungerò a questa risposta.)

    
risposta data 19.08.2015 - 03:13
fonte
0

Che cosa definisci come app non autorizzata? Ad esempio se i tuoi utenti (Android) installano una nuova tastiera, l'autore di questa tastiera "potrebbe" leggere tutte le informazioni che un utente digita con essa. Android avvisa anche di questo, ma non tutti gli utenti ascoltano le etichette di avviso ...

    
risposta data 31.08.2015 - 14:08
fonte
-2

Tutti gli attacchi di touchjack rivelati pubblicamente dipendono dall'inserimento di un livello malevolo nelle visualizzazioni Web, non da un malware non correlato. Supponendo che tu stia solo installando da una fonte attendibile (vale a dire codice firmato da Buono) tramite una piattaforma attendibile (Google Play, Apple Store, Microsoft qualunque), quindi gli attacchi di tipo "touchjacking" sono improbabili.

    
risposta data 27.08.2015 - 21:56
fonte

Leggi altre domande sui tag