触屏劫持技术原理简述

最新推荐文章于 2022-11-30 16:34:22 发布
最新推荐文章于 2022-11-30 16:34:22 发布
阅读量510 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_38103658/article/details/99625797
版权
本文介绍了触屏劫持的发展历程,从2010年斯坦福的首次公开到2017年Android MediaProjection漏洞,揭示了触屏劫持的工作原理,包括隐藏URL地址栏、利用iOS Safari的触屏API以及Android上的具体实现方法。同时,文章提供了Android触屏劫持的简单示例代码,并提出了防御措施,提醒用户警惕不明提示和地址栏篡改,以保护信息安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

触屏劫持发展过程:
移动智能终端设备由于体积限制,一般都没有鼠标、键盘这些输入设备,用户更多的操作是依靠手指在触屏上的点击或滑动等动作完成。在移动设备上,类似点击劫持的攻击模式,实现了对用户触摸屏操作的劫持攻击,即界面操作劫持攻击的又一种形式——触屏劫持。
2010年斯坦福公布触屏劫持攻击。通过将一个不可见的iframe覆盖到当前网页上就可以劫持用户的触屏操作。由于手机屏幕范围有限,手机浏览器为了节省空间会把地址栏隐藏起来,因此在手机上的视觉欺骗更容易实施。
2017年MWR公布了一个驻留在Android MediaProjection功能服务中的新漏洞:恶意程序在用户不知情的情况下,捕获用户的屏幕内容及录制音频。而该漏洞的成因就是运用了触屏劫持,由于易受攻击的Android版本无法检测到部分隐藏的SystemUI弹窗,这使得攻击者可以制作一个恶意应用程序,在SystemUI弹窗上重叠一个窗口,最终使得恶意应用程序的权限提升,进而实施攻击。据悉超过78%的Android设备受此漏洞影响。
触屏劫持技术原理:

  1. 桌面浏览器
    iOS中的safari浏览器可以将一个网页添加到桌面,当做一个独立的应用运行。添加后,主屏幕上会出现一个由网页缩略图生成的App图标。类似于快捷键方式。这样可以方便进行页面篡改等。
  2. 隐藏URL地址栏
    为了不让用户发现点击按钮后跳转到了奇怪的url地址,我们需要进行视觉欺骗,最简单有效的就是隐藏URL地址栏,除了用全屏模式隐藏URL地址栏外,还可以使用以下代码实现URL地址栏的隐藏
    <body οnlοad=”setTimeout(function()
    {window.scrollTo(0,1)},100);”>
最低0.47元/天 解锁文章
[车联网安全自学篇] ATTACK安全之Android Activity劫持检测与防护
橙留香Park的博客
06-01 2749
Android 界面劫持是指在Android系统中,恶意软件通过监控目标软件的运行,当检测到当前运行界面为某个被监控应用的特定界面时(一般为登录或支付界面),弹出伪造的钓鱼页面,从而诱导用户输入信息,最终窃取用户的隐私(恶意盗取用户账号、卡号、密码等信息),或者利用假冒界面进行钓鱼欺诈目前,还没有什么专门针对Activity劫持的防护方法,因为,这种攻击是用户层面上的,目前还无法从代码层面上根除。
hades.zip 哈迪斯屏幕劫持 幽灵
09-09
韩剧幽灵里面的哈迪斯屏幕劫持病毒,由于该病毒运行危险性较大,所以对病毒进行了改动,只能劫持鼠标、不劫持键盘。该病毒用易语言编写而成
web安全————clickjacking(点击劫持
longger_lee
12-14 7542
点击劫持(clickjacking)       点击劫持最早是在08年由安全专家Reboot Hansen和Jeremiah Grossman发现,这种攻击方式影响了几乎所有的桌面平台。那么什么是点击劫持??点击劫持其实是一种视觉上的欺骗手段,攻击者将一个透明的、不可见的iframe覆盖在一个网页上,通过调整iframe页面位置,诱使用户在页面上进行操作,在不知情的情况下用户的点击恰好是点击在
成功劫持android的屏幕
小草光明与嵌入式
09-05 1118
在linux on android 项目中,都是使用ssh或vnc来登陆系统的。在屏幕上并不能显示linux系统的界面 1,建立fb0文件,搞定权限 ln -s /dev/graphics/fb0 /dev/fb0 ls -l /dev/graphics/fb0 看所需要的权限,主要是组权限,查到组号为1003 groupadd -g 1003 android_graphics 将自己的
信息安全实验——点击劫持技术
qq_24293765的博客
01-28 2542
点击劫持技术 概念:又称界面伪装攻击(ui redress attack),是一种视觉上的欺骗手段,攻击者使用一个或多个透明的iframe覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的iframe页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。 方式:攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等;也可以与XSS和CSRF攻击相结合,突破传统的防御措施,提升漏洞的危害程度。 点击劫持攻击实现 实施攻击的一般步骤 黑客创建一个网页,
ClickJacking点击劫持
Code_Aape的博客
10-21 476
文章目录点击劫持(ClickJacking)1 什么是点击劫持2 Flash点击劫持3 图片覆盖攻击4 拖拽劫持与数据窃取5 ClickJacking3.0:触屏劫持6 Click Jacking防御6.1 frame busting6.2 X-Frame-Option7 小结 点击劫持(ClickJacking) 1 什么是点击劫持 点击劫持是一种视觉欺骗手段。攻击者使用一个透明不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上操作,用户将在不知情的情况下点击透明的iframe页面。通过调整i
点击劫持技术原理简述
m0_38103658的博客
08-15 3102
界面劫持概念简述: 界面操作劫持攻击实际上是一种基于视觉欺骗的web会话劫持攻击,核心在于使用了标签中的透明属性,他通过在网页的可见输入控件上覆盖一个不可见的框,使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框所劫持,执行不可见框中的恶意代码,达到窃取信息,控制会话,植入木马等目的。 界面劫持发展过程: (点击劫持)点击劫持又称UI-覆盖攻击,是2008年由互联网安全专家罗伯特·...
基于Vue的图片轮播技术:深度解析与最佳实践
![vue实现图片滚动的示例代码(类似走马灯效果)]... # 摘要 Vue.js作为一种流行的前端框架,其在实现图片轮播技术方面拥有强大的表现力和灵活性。本文从Vue图片轮播技术概
Android学习笔记:Android基础知识点(不断更新中)
热门推荐
浩比的专栏
10-28 2万+
1、Android系统的四大组件分别是:活动(Activity)、服务(Service)、广播接收器(Broadcast Receiver)、内容提供器(Content Provider)。 2、定义一个应用程序名的字符串,有以下两种方式来引用它:
软件测试面试整理
Tao的博客
01-19 7558
PythonPython为什么是解释型语言顺序执行的 没有静态检查 没有编译链接过程 可以交互式运行c语言类型不对是编译抛的错误,python类型不对是运行抛的错误也就是python是一条条运行的,c需要整个编译过了才能运行面向对象和面向过程的区别面向对象是把构成问题的事务分解成各个对象,建立对象来描述某个事务在解决问题的步骤中的行为;面向过程是分析出解决问题所需要的步骤,然后用一些函数把这些步骤一步步实现,使用的时候依次调用函数就行了。Python有什么优势解释型,语法简单易懂,可读性强有很多库可以用,可
touch事件 以及 点击穿透的三种解决方法(移动端)
weixin_46022934的博客
11-14 5517
移动端 touch事件以及touch事件点击穿透的解决方法 提示: touchstart—>touchmove—>touchend ----> click 上面的四种点击都可以在移动端进行使用!但是有明确的区别! 移动端:touchstart — touchmove — touchend ,三个事件是专门为移动端监测,触摸开始(按下),触摸移动,触摸结束(离开),三个事件. 文章目录移动端 touch事件以及touch事件点击穿透的解决方法前言一、touch事件1.touchstart-
网络安全-点击劫持(ClickJacking)的原理、攻击及防御
关注网络安全、云原生安全
08-15 1万+
简介 2008年,安全专家Robert Hansen 与Jeremiah Grossman发现了一种被他们称为点击劫持(Cli)的攻击 原理 攻击 防御
点击劫持(ClickJacking)
qq_56327824的博客
03-30 1万+
点击劫持(ClickJacking) 什么是点击劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的,不可见的iframe,覆盖在一个网页上,然后诱导使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱导用户恰巧点击在iframe页面的一些功能性按键上 不懂iframe是干什么的同学,自己补充一下 利用iframe <!DOCTYPE html> <html lang="en"> <head>
web前端黑客技术揭秘(5)
m0_73344153的博客
11-30 327
web安全
各种数据接口&欺骗器学习
JR024778的博客
07-24 9197
一、概述 显示器数据性能:DP>HDMI>DVI>VGA。其中VGA是模拟信号,目前已经被主流淘汰。DVI、HDMI、DP都是数字信号,是目前的主流。很多老式的显示器都还是VGA接口,所以我们时常会使用一个HDMI或者其他接口转VGA的转换器。 模拟信号与数字信号: 模拟信号主要是与离散的数字信号相对的连续的信号。模拟信号是指用连续变化的物理量所表达的信息,通常又把模拟信号称为连续信号,它在一定的时间范围内可以有无限多个不同的取值,模拟信号分布于自然界的各个角落,如气温的变化。而数字信号
Android之Activity界面劫持劫持
LVXIANGAN的专栏
02-09 2万+
总结: Activity劫持原理1、注册一个receiver,响应android.intent.action.BOOT_COMPLETED,使得开机启动一个service;这个service,会启动一个计时器,不停循环查询所有当前运行的进程(因为app可以枚举系统当前运行进程而无需声明其他权限) 2、一旦发现当前某一进程的Activity正是我们想要劫持的,并运行在前台,我们立马使用FLAG_A...
页面返回劫持代码
weixin_44494569的博客
04-06 2646
window.function(){jp();}; function hh() {history.pushState(history.length+1, "message", "#"+new Date().getTime());} function jp() { location.href="https://www.baidu.com"; } setTimeout('hh();', 10)...
HTTP网络劫持的原理与过程
weixin_41490593的博客
11-07 2695
网站HTTP被劫持怎么办?在上网的过程中,我们经常会遇到DNS或者http被劫持的情况。HTTP劫持对于运营商来说,再简单不过了,当然,HTTP劫持并不是运营商才能做的事,一些黑客、浏览器厂商、手机厂商都可以做到,显然这个锅不能让运营商一个人来背,那么HTTP被劫持怎么办,如何预防了,HTTP网络劫持的原理与过程又是什么呢? 什么是HTTP劫持? 在用户的客户端与其要访问的服务器经过网络协议协...
【Android】View点击事件劫持方法
sinat_36955332的博客
12-15 446
在不侵入业务代码的情况下监听所有的点击事件并记录所有的点击数,用于统计热点页面和其他一些分析工作, 介绍一个如何Hook掉View的onClick方法 第一步寻找Hook点 setOnClickListener做了那些动作: btn.setOnClickListener(new View.OnClickListener() { @Override public void onClick(View v) { } }); public void setOnClickListener(@Nul
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值