Cloak and Dagger: From Two Permissions to Complete Control of the UI Feedback Loop

Watch on YouTube

官网: Cloak and Dagger: From Two Permissions to Complete Control of the UI Feedback Loop

1. Root Cause - Permissions


2. Clickjacking 101

在 App 上添加一层, 点击 click here时,实际是点击下面的 ok button.

3. Remediation (Failed)

Google 建议使用"Obscured Flag", 检测是否有另一个 Layer 在上面.

不过, 黑客可以在除 OK button 的位置外, 都加一层 Layer, 然后诱导用户点击 ok button. 而"Obscured Flag"又不会检测得到.

如下图, 用户以为点击 Ok, 是在抓小精灵, 其实除了 OK 那一格,其他格都是添加了一层.

3.1 根本性错误

Show Comments