hacktricks/mobile-pentesting/android-app-pentesting/tapjacking.md

Tapjacking

Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

• Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks im PDF-Format herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
• Holen Sie sich das offizielle PEASS & HackTricks-Merch
• Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
• Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.

{% embed url="https://websec.nl/" %}

Grundlegende Informationen

Tapjacking ist ein Angriff, bei dem eine bösartige Anwendung gestartet wird und sich über einer Opferanwendung positioniert. Sobald sie die Opfer-App sichtbar verdeckt, ist ihre Benutzeroberfläche so gestaltet, dass sie den Benutzer dazu verleitet, mit ihr zu interagieren, während sie die Interaktion an die Opfer-App weitergibt.
Im Wesentlichen blendet es den Benutzer aus, sodass er nicht weiß, dass er tatsächlich Aktionen auf der Opfer-App ausführt.

Erkennung

Um Apps zu erkennen, die anfällig für diesen Angriff sind, sollten Sie nach exportierten Aktivitäten im Android-Manifest suchen (beachten Sie, dass eine Aktivität mit einem Intent-Filter standardmäßig automatisch exportiert wird). Sobald Sie die exportierten Aktivitäten gefunden haben, überprüfen Sie, ob sie Berechtigungen erfordern. Dies liegt daran, dass die bösartige Anwendung auch diese Berechtigung benötigen wird.

Schutz

Android 12 (API 31,32) und höher

Laut dieser Quelle, werden Tapjacking-Angriffe von Android ab Android 12 (API 31 & 30) und höher automatisch verhindert. Selbst wenn die Anwendung anfällig ist, können Sie sie nicht ausnutzen.

filterTouchesWhenObscured

Wenn android:filterTouchesWhenObscured auf true gesetzt ist, empfängt die View keine Berührungen, wenn das Fenster der Ansicht von einem anderen sichtbaren Fenster verdeckt ist.

setFilterTouchesWhenObscured

Das Attribut setFilterTouchesWhenObscured, das auf true gesetzt ist, kann auch die Ausnutzung dieser Schwachstelle verhindern, wenn die Android-Version niedriger ist.
Wenn es auf true gesetzt ist, kann beispielsweise ein Button automatisch deaktiviert werden, wenn er verdeckt ist:

<Button android:text="Button"
android:id="@+id/button1"
android:layout_width="wrap_content"
android:layout_height="wrap_content"
android:filterTouchesWhenObscured="true">
</Button>

Ausnutzung

Tapjacking-ExportedActivity

Die neueste Android-Anwendung, die einen Tapjacking-Angriff durchführt (+ Aufruf vor einer exportierten Aktivität der angegriffenen Anwendung), finden Sie unter: https://github.com/carlospolop/Tapjacking-ExportedActivity.

Befolgen Sie die README-Anweisungen, um sie zu verwenden.

FloatingWindowApp

Ein Beispielprojekt, das FloatingWindowApp implementiert, das verwendet werden kann, um über anderen Aktivitäten platziert zu werden, um einen Clickjacking-Angriff durchzuführen, finden Sie unter FloatingWindowApp (etwas veraltet, viel Glück beim Erstellen der APK).

Qark

{% hint style="danger" %} Es scheint, dass dieses Projekt jetzt nicht mehr gepflegt wird und diese Funktionalität nicht mehr ordnungsgemäß funktioniert. {% endhint %}

Sie können qark mit den Parametern --exploit-apk --sdk-path /Users/username/Library/Android/sdk verwenden, um eine bösartige Anwendung zu erstellen und auf mögliche Tapjacking-Schwachstellen zu testen.

Die Abhilfe ist relativ einfach, da der Entwickler wählen kann, keine Berührungsevents zu empfangen, wenn eine Ansicht von einer anderen verdeckt wird. Verwenden Sie das Android Developer’s Reference:

Manchmal ist es unerlässlich, dass eine Anwendung überprüfen kann, dass eine Aktion mit dem vollen Wissen und Einverständnis des Benutzers ausgeführt wird, wie das Gewähren einer Berechtigungsanfrage, das Tätigen eines Kaufs oder das Klicken auf eine Anzeige. Leider könnte eine bösartige Anwendung versuchen, den Benutzer dazu zu bringen, diese Aktionen unwissentlich auszuführen, indem sie den beabsichtigten Zweck der Ansicht verbirgt. Als Abhilfe bietet das Framework einen Berührungsfiltermechanismus, der verwendet werden kann, um die Sicherheit von Ansichten zu verbessern, die Zugriff auf sensible Funktionen bieten.

Um die Berührungsfilterung zu aktivieren, rufen Sie setFilterTouchesWhenObscured(boolean) auf oder setzen Sie das android:filterTouchesWhenObscured-Layoutattribut auf true. Wenn aktiviert, verwirft das Framework Berührungen, die empfangen werden, wenn das Fenster der Ansicht von einem anderen sichtbaren Fenster verdeckt ist. Als Ergebnis erhält die Ansicht keine Berührungen, wenn ein Toast, ein Dialog oder ein anderes Fenster über dem Fenster der Ansicht erscheint.

{% embed url="https://websec.nl/" %}

Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

• Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks im PDF-Format herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
• Holen Sie sich das offizielle PEASS & HackTricks-Merch
• Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
• Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud Github-Repositories einreichen.