移动网站遭遇“触屏劫持”编辑本段回目录
制作一个恶意网站,使用户的点击秘密地被重新定向到一个合法网站,就像窃取用户的密码和其他数据那样,这是可行的。许多网络开发人员增加了保护措施,在正常网站上阻止这种战术,但是,斯坦福大学的研究人员们警告说,通过iPhone这样的移动设备而进入到移动互联网上,还没有足够的保护措施来阻止相似的技术。
 来源:科技创业 |
因此,智能手机用户可能会以为自己在查找一场棒球比赛的比分,但实际上却按到了一个隐藏页面的按钮上,确认了一笔汇款。
移动用户尤其容易受到这种把戏的威胁。一方面,智能手机的用户界面上,显示网页是否安全的部分一般是出现在浏览器栏里,通常在屏幕最大化时不予显示。因为浏览器通常充满了手机的整个屏幕,攻击者就可以“在屏幕上想画什么就画什么,用户并不知道什么是真的,什么是从攻击者那里来的,”斯坦福大学安全实验室的博士后研究员艾利•伯斯坦(Elie Bursztein)说。
伯斯坦说,首先,移动设备正成为越来越大的目标,因为人们在它们上面花费着越来越多的时间,交换着越来越多的重要数据。“人们在手机上购物,使用Facebook和Twitter,用不了多久,他们就会在手机上处理银行业务了,”他说。
在上周举行的攻击性技术专题研讨会上,伯斯坦和斯坦福大学的其他研究人员们提交了他们的发现。他们称这类攻击为“触屏劫持(tapjacking),”,它是从攻击电脑浏览器的类似方式“点击劫持(clickjacking)”引申而来的。
“这是一帮小黑客们凑到一起造成的大麻烦,”一家专注于移动设备安全的公司——Lookout的技术总监凯文•马哈菲(Kevin Mahaffey)说,“要想解决这个问题,需要大量协调一致的努力。”
“点击劫持”是在2008年的一份报告中,由两名研究人员——SecTheory公司的罗伯特•汉森(Robert Hansen)和白帽安全公司的杰罗麦亚•格罗斯曼(Jeremiah Grossman)提出的。他们展示了恶意用户界面覆盖——通常是利用看不见的浏览器框来捕获用户的操作指令——是如何导致受害者以为他们是在一个网页上操作,而实际上他们的点击却被另一个完全不同的页面所抓获。用户的电脑不一定感染了病毒或木马,他们只需要进入过一个被攻击者控制的、展示内容的网站,例如一个Flash广告。
浏览器生产商可以通过禁止网页进入其他领域来防止这类问题。但是,这会破坏很多用于合法目的的使用,包括广告。于是,浏览器生产商给予网站开发工程师们一定的权限,可以进行编程,使得只有来自他们允许的外部网站内容得到运行。
开发人员们还可以运行“破坏框” (frame-busting)代码,以防止网站建立展示其它页面的“隐形框架”。不过,虽然很多网站已经实施了这种防止“点击劫持”的手段,为移动设备制作的网站却很少有这样防御措施。斯坦福大学的研究人员发现,Alexa前500最受欢迎网站中,有1/7的网站装有“破坏框”代码。超过一半的Alexa前500强网站都有一个专门为移动设备而建的门户网站,但只有两家移动网站有“破坏框”防御措施。
“移动网站的安全性应该像非移动网站那样同等地严肃对待,否则,坏事就可能发生,”伯斯坦说。
除了类似“点击劫持”的标准攻击外,“触屏劫持”还可以让攻击者攫取用户家中无线网络的信息。从那里,攻击者可以确定无线网络的物理位置。这种技术在手机上简直是横冲直撞,安全顾问克雷格•黑夫纳(Craig Heffner)说,他在最近的黑帽大会上提出了路由器的安全问题。
参考文献
http://mittrchinese.com/article.jsp?id=2196
