Android系统点击劫持攻防技术研究

作     者：钱正旸 施勇 薛质 QIAN Zheng-yang;SHI Yong;XUE Zhi

作者机构：上海交通大学信息安全工程学院上海200240 上海市信息安全综合管理技术研究重点实验室上海200240 

出 版 物：《计算机技术与发展》 (Computer Technology and Development)

年 卷 期：2015年第25卷第10期

页      面：135-139页

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家自然科学基金资助项目(61332010) 

主　　题：Android安全 点击劫持 Tapjacking WebView 

摘      要：点击劫持攻击是近年来出现的一种新型Web攻击手段,使用多层透明或不透明的界面欺骗用户点击实现攻击。随着移动互联网的发展和普及,此类攻击逐渐在移动平台中出现,并具有更强的隐蔽性和危害性。文中在总结传统Web点击劫持攻击方法的基础上,深入研究了Android系统中点击劫持攻击的原理,重点分析了基于通知视图(Toast)的点击劫持攻击(Tapjacking)与基于网页视图(Web View)的点击劫持攻击两种攻击方式的实现方法。由于X-FRAME-OPTIONS与Frame Busting代码等传统Web点击劫持防御方法存在一定局限性,无法有效地防御Android系统点击劫持攻击,文中研究了几种针对Android系统点击劫持攻击的防御手段,能在一定程度上减缓该类攻击的危害。