根據基準 4.0 的定義,螢幕覆蓋攻擊(Screen Overlay Attack)是指攻擊者的應用程式會在行動應用程式上繪製一個視窗,誤導使用者將自己點擊的入侵視窗誤認為是正常視窗。
而 4.1.5.1.3 正是針對此類攻擊進行檢測的測項。行動應用程式應針對螢幕覆蓋攻擊進行防護。我們可以從檢測基準中所列的「符合」與「不符合」條件來檢查,是否有對螢幕覆蓋攻擊進行防護,或是否有主動警示使用者。
然而,在基準條文中並未明確指出應如何實作上述檢測方式,因此我們可以參考 OWASP 所提供的 MASTG-TEST-0035:Testing for Overlay Attacks。該指引提供了靜態與動態分析的作法,不僅能協助開發人員了解如何防範螢幕覆蓋攻擊,也能讓檢測人員掌握檢測重點。
在靜態分析方面,檢測人員可查看 App 程式碼中是否有使用如圖 1 所示的方法(Method)或屬性(Attribute);而從動態分析角度來看,則可利用如圖 2 所建議的 App 進行驗證,觀察目標 App 在操作過程中是否能偵測出螢幕被遮擋的情況。
▲ 圖 1
▲ 圖 2
若對靜態與動態分析的部分仍有疑問,歡迎來電洽詢,我們可提供詳細說明,協助開發人員有效防範螢幕覆蓋攻擊。
根據基準 4.0 的定義,螢幕覆蓋攻擊(Screen Overlay Attack)是指攻擊者的應用程式會在行動應用程式上繪製一個視窗,誤導使用者將自己點擊的入侵視窗誤認為是正常視窗。
而 4.1.5.1.3 正是針對此類攻擊進行檢測的測項。行動應用程式應針對螢幕覆蓋攻擊進行防護。我們可以從檢測基準中所列的「符合」與「不符合」條件來檢查,是否有對螢幕覆蓋攻擊進行防護,或是否有主動警示使用者。
然而,在基準條文中並未明確指出應如何實作上述檢測方式,因此我們可以參考 OWASP 所提供的 MASTG-TEST-0035:Testing for Overlay Attacks。該指引提供了靜態與動態分析的作法,不僅能協助開發人員了解如何防範螢幕覆蓋攻擊,也能讓檢測人員掌握檢測重點。
在靜態分析方面,檢測人員可查看 App 程式碼中是否有使用如圖 1 所示的方法(Method)或屬性(Attribute);而從動態分析角度來看,則可利用如圖 2 所建議的 App 進行驗證,觀察目標 App 在操作過程中是否能偵測出螢幕被遮擋的情況。
▲ 圖 1
▲ 圖 2
若對靜態與動態分析的部分仍有疑問,歡迎來電洽詢,我們可提供詳細說明,協助開發人員有效防範螢幕覆蓋攻擊。
近期文章