Technique de codage sécurisée : parlons du Tapjacking
C'est exactement ce que signifie le tapjacking, une combinaison de « tap » et de « hijacking ». Il s'agit d'une attaque au cours de laquelle l'attaquant détourne les tapotements de l'utilisateur et l'incite à faire quelque chose dont il n'avait pas l'intention. Alors, comment cela fonctionne-t-il et comment l'éviter ?
Nous allons commencer notre histoire avec des superpositions d'écran. Superpositions d'écran ou, comme les appelle Google, fenêtres utilisant le type TYPE_APPLICATION_OVERLAY. Il s'agit de fenêtres dessinées au-dessus d'autres applications et qui ne masquent généralement qu'une partie de l'écran. Elles sont souvent utilisées (comme l'exemple d'image ci-dessous) lorsqu'une application demande de nouvelles autorisations.
Il s'agit en fait d'une fonctionnalité intéressante et amusante et de plus en plus d'applications commencent à l'utiliser. Pensez aux bulles de discussion de Facebook ou à la navigation sur Google Maps dans un coin de votre écran, comme dans la capture d'écran ci-dessous.
Cependant, ces superpositions présentent certains risques de sécurité. Toute superposition d'écran active peut écouter les tapotements. Sinon, comment Facebook pourrait-il savoir que nous avons tapé ou fait glisser la bulle ? Cela permet aux applications de vous espionner et de voler potentiellement des mots de passe et des données de carte de crédit.
Une étape plus loin, et c'est de là que vient le terme tapjacking, les superpositions peuvent dessiner des éléments au-dessus d'autres applications en incitant l'utilisateur à effectuer différentes actions. L'utilisateur pense qu'il interagit avec la superposition, mais en réalité, ses touches exécutent également des actions dans l'application sous-jacente. De cette façon, la superposition peut vous inciter à activer certaines autorisations ou à modifier certains paramètres dangereux, comme illustré dans ce ancienne vidéo YouTube.
La vidéo de démonstration ci-dessus a été mise en ligne sur YouTube en 2010, elle a donc été réalisée sur une ancienne version d'Android. Mais l'attaque est toujours d'actualité aujourd'hui, car vulnérabilités a été découvert qui permet le tapjacking dans les nouvelles versions d'Android telles que Nougat et Marshmallow.
Alors, que peux-tu y faire ? En tant qu'utilisateur, il est important de prendre conscience des conséquences de ces superpositions et de connaître les applications qui les utilisent. À partir du niveau d'API 23 (Android 6.0 Marshmallow), c'est devenu une autorisation qui doit être explicitement accordé par l'utilisateur. Cependant, cela laisse 50 % d'Androidles utilisateurs restent vulnérables. Vous pouvez toujours vérifier quelles applications utilisent cette autorisation dans les paramètres sous « Afficher sur d'autres applications ».
En tant que développeurs, il nous appartient de nous assurer que les actions des utilisateurs sont effectuées en toute connaissance de cause et avec leur consentement. Android fournit un paramètre pour vos vues qui font exactement cela, appelé Le filtre touche lorsqu'il est masqué. Lorsqu'il est activé, le framework supprime les touches reçues chaque fois que la fenêtre des vues est masquée par une autre fenêtre visible. C'est aussi simple que cela, réglez Le filtre se touche lorsqu'il est masqué à true, et votre application est protégée contre le tapjacking.
Bonne chance et à la semaine prochaine !
Il est parfois essentiel qu'une application soit en mesure de vérifier qu'une action est effectuée en toute connaissance de cause et avec le consentement de l'utilisateur, par exemple en accordant une demande d'autorisation, en effectuant un achat ou en cliquant sur une publicité. Malheureusement, une application malveillante pourrait tenter d'inciter l'utilisateur à effectuer ces actions sans le savoir, en dissimulant l'objectif de la vue.
https://developer.android.com/reference/android/view/View.html
Parfois, il est essentiel qu'une application soit en mesure de vérifier qu'une action est exécutée en toute connaissance de cause et avec le consentement de l'utilisateur
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
C'est exactement ce que signifie le tapjacking, une combinaison de « tap » et de « hijacking ». Il s'agit d'une attaque au cours de laquelle l'attaquant détourne les tapotements de l'utilisateur et l'incite à faire quelque chose dont il n'avait pas l'intention. Alors, comment cela fonctionne-t-il et comment l'éviter ?
Nous allons commencer notre histoire avec des superpositions d'écran. Superpositions d'écran ou, comme les appelle Google, fenêtres utilisant le type TYPE_APPLICATION_OVERLAY. Il s'agit de fenêtres dessinées au-dessus d'autres applications et qui ne masquent généralement qu'une partie de l'écran. Elles sont souvent utilisées (comme l'exemple d'image ci-dessous) lorsqu'une application demande de nouvelles autorisations.
Il s'agit en fait d'une fonctionnalité intéressante et amusante et de plus en plus d'applications commencent à l'utiliser. Pensez aux bulles de discussion de Facebook ou à la navigation sur Google Maps dans un coin de votre écran, comme dans la capture d'écran ci-dessous.
Cependant, ces superpositions présentent certains risques de sécurité. Toute superposition d'écran active peut écouter les tapotements. Sinon, comment Facebook pourrait-il savoir que nous avons tapé ou fait glisser la bulle ? Cela permet aux applications de vous espionner et de voler potentiellement des mots de passe et des données de carte de crédit.
Une étape plus loin, et c'est de là que vient le terme tapjacking, les superpositions peuvent dessiner des éléments au-dessus d'autres applications en incitant l'utilisateur à effectuer différentes actions. L'utilisateur pense qu'il interagit avec la superposition, mais en réalité, ses touches exécutent également des actions dans l'application sous-jacente. De cette façon, la superposition peut vous inciter à activer certaines autorisations ou à modifier certains paramètres dangereux, comme illustré dans ce ancienne vidéo YouTube.
La vidéo de démonstration ci-dessus a été mise en ligne sur YouTube en 2010, elle a donc été réalisée sur une ancienne version d'Android. Mais l'attaque est toujours d'actualité aujourd'hui, car vulnérabilités a été découvert qui permet le tapjacking dans les nouvelles versions d'Android telles que Nougat et Marshmallow.
Alors, que peux-tu y faire ? En tant qu'utilisateur, il est important de prendre conscience des conséquences de ces superpositions et de connaître les applications qui les utilisent. À partir du niveau d'API 23 (Android 6.0 Marshmallow), c'est devenu une autorisation qui doit être explicitement accordé par l'utilisateur. Cependant, cela laisse 50 % d'Androidles utilisateurs restent vulnérables. Vous pouvez toujours vérifier quelles applications utilisent cette autorisation dans les paramètres sous « Afficher sur d'autres applications ».
En tant que développeurs, il nous appartient de nous assurer que les actions des utilisateurs sont effectuées en toute connaissance de cause et avec leur consentement. Android fournit un paramètre pour vos vues qui font exactement cela, appelé Le filtre touche lorsqu'il est masqué. Lorsqu'il est activé, le framework supprime les touches reçues chaque fois que la fenêtre des vues est masquée par une autre fenêtre visible. C'est aussi simple que cela, réglez Le filtre se touche lorsqu'il est masqué à true, et votre application est protégée contre le tapjacking.
Bonne chance et à la semaine prochaine !
Il est parfois essentiel qu'une application soit en mesure de vérifier qu'une action est effectuée en toute connaissance de cause et avec le consentement de l'utilisateur, par exemple en accordant une demande d'autorisation, en effectuant un achat ou en cliquant sur une publicité. Malheureusement, une application malveillante pourrait tenter d'inciter l'utilisateur à effectuer ces actions sans le savoir, en dissimulant l'objectif de la vue.
https://developer.android.com/reference/android/view/View.html
C'est exactement ce que signifie le tapjacking, une combinaison de « tap » et de « hijacking ». Il s'agit d'une attaque au cours de laquelle l'attaquant détourne les tapotements de l'utilisateur et l'incite à faire quelque chose dont il n'avait pas l'intention. Alors, comment cela fonctionne-t-il et comment l'éviter ?
Nous allons commencer notre histoire avec des superpositions d'écran. Superpositions d'écran ou, comme les appelle Google, fenêtres utilisant le type TYPE_APPLICATION_OVERLAY. Il s'agit de fenêtres dessinées au-dessus d'autres applications et qui ne masquent généralement qu'une partie de l'écran. Elles sont souvent utilisées (comme l'exemple d'image ci-dessous) lorsqu'une application demande de nouvelles autorisations.
Il s'agit en fait d'une fonctionnalité intéressante et amusante et de plus en plus d'applications commencent à l'utiliser. Pensez aux bulles de discussion de Facebook ou à la navigation sur Google Maps dans un coin de votre écran, comme dans la capture d'écran ci-dessous.
Cependant, ces superpositions présentent certains risques de sécurité. Toute superposition d'écran active peut écouter les tapotements. Sinon, comment Facebook pourrait-il savoir que nous avons tapé ou fait glisser la bulle ? Cela permet aux applications de vous espionner et de voler potentiellement des mots de passe et des données de carte de crédit.
Une étape plus loin, et c'est de là que vient le terme tapjacking, les superpositions peuvent dessiner des éléments au-dessus d'autres applications en incitant l'utilisateur à effectuer différentes actions. L'utilisateur pense qu'il interagit avec la superposition, mais en réalité, ses touches exécutent également des actions dans l'application sous-jacente. De cette façon, la superposition peut vous inciter à activer certaines autorisations ou à modifier certains paramètres dangereux, comme illustré dans ce ancienne vidéo YouTube.
La vidéo de démonstration ci-dessus a été mise en ligne sur YouTube en 2010, elle a donc été réalisée sur une ancienne version d'Android. Mais l'attaque est toujours d'actualité aujourd'hui, car vulnérabilités a été découvert qui permet le tapjacking dans les nouvelles versions d'Android telles que Nougat et Marshmallow.
Alors, que peux-tu y faire ? En tant qu'utilisateur, il est important de prendre conscience des conséquences de ces superpositions et de connaître les applications qui les utilisent. À partir du niveau d'API 23 (Android 6.0 Marshmallow), c'est devenu une autorisation qui doit être explicitement accordé par l'utilisateur. Cependant, cela laisse 50 % d'Androidles utilisateurs restent vulnérables. Vous pouvez toujours vérifier quelles applications utilisent cette autorisation dans les paramètres sous « Afficher sur d'autres applications ».
En tant que développeurs, il nous appartient de nous assurer que les actions des utilisateurs sont effectuées en toute connaissance de cause et avec leur consentement. Android fournit un paramètre pour vos vues qui font exactement cela, appelé Le filtre touche lorsqu'il est masqué. Lorsqu'il est activé, le framework supprime les touches reçues chaque fois que la fenêtre des vues est masquée par une autre fenêtre visible. C'est aussi simple que cela, réglez Le filtre se touche lorsqu'il est masqué à true, et votre application est protégée contre le tapjacking.
Bonne chance et à la semaine prochaine !
Il est parfois essentiel qu'une application soit en mesure de vérifier qu'une action est effectuée en toute connaissance de cause et avec le consentement de l'utilisateur, par exemple en accordant une demande d'autorisation, en effectuant un achat ou en cliquant sur une publicité. Malheureusement, une application malveillante pourrait tenter d'inciter l'utilisateur à effectuer ces actions sans le savoir, en dissimulant l'objectif de la vue.
https://developer.android.com/reference/android/view/View.html
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
C'est exactement ce que signifie le tapjacking, une combinaison de « tap » et de « hijacking ». Il s'agit d'une attaque au cours de laquelle l'attaquant détourne les tapotements de l'utilisateur et l'incite à faire quelque chose dont il n'avait pas l'intention. Alors, comment cela fonctionne-t-il et comment l'éviter ?
Nous allons commencer notre histoire avec des superpositions d'écran. Superpositions d'écran ou, comme les appelle Google, fenêtres utilisant le type TYPE_APPLICATION_OVERLAY. Il s'agit de fenêtres dessinées au-dessus d'autres applications et qui ne masquent généralement qu'une partie de l'écran. Elles sont souvent utilisées (comme l'exemple d'image ci-dessous) lorsqu'une application demande de nouvelles autorisations.
Il s'agit en fait d'une fonctionnalité intéressante et amusante et de plus en plus d'applications commencent à l'utiliser. Pensez aux bulles de discussion de Facebook ou à la navigation sur Google Maps dans un coin de votre écran, comme dans la capture d'écran ci-dessous.
Cependant, ces superpositions présentent certains risques de sécurité. Toute superposition d'écran active peut écouter les tapotements. Sinon, comment Facebook pourrait-il savoir que nous avons tapé ou fait glisser la bulle ? Cela permet aux applications de vous espionner et de voler potentiellement des mots de passe et des données de carte de crédit.
Une étape plus loin, et c'est de là que vient le terme tapjacking, les superpositions peuvent dessiner des éléments au-dessus d'autres applications en incitant l'utilisateur à effectuer différentes actions. L'utilisateur pense qu'il interagit avec la superposition, mais en réalité, ses touches exécutent également des actions dans l'application sous-jacente. De cette façon, la superposition peut vous inciter à activer certaines autorisations ou à modifier certains paramètres dangereux, comme illustré dans ce ancienne vidéo YouTube.
La vidéo de démonstration ci-dessus a été mise en ligne sur YouTube en 2010, elle a donc été réalisée sur une ancienne version d'Android. Mais l'attaque est toujours d'actualité aujourd'hui, car vulnérabilités a été découvert qui permet le tapjacking dans les nouvelles versions d'Android telles que Nougat et Marshmallow.
Alors, que peux-tu y faire ? En tant qu'utilisateur, il est important de prendre conscience des conséquences de ces superpositions et de connaître les applications qui les utilisent. À partir du niveau d'API 23 (Android 6.0 Marshmallow), c'est devenu une autorisation qui doit être explicitement accordé par l'utilisateur. Cependant, cela laisse 50 % d'Androidles utilisateurs restent vulnérables. Vous pouvez toujours vérifier quelles applications utilisent cette autorisation dans les paramètres sous « Afficher sur d'autres applications ».
En tant que développeurs, il nous appartient de nous assurer que les actions des utilisateurs sont effectuées en toute connaissance de cause et avec leur consentement. Android fournit un paramètre pour vos vues qui font exactement cela, appelé Le filtre touche lorsqu'il est masqué. Lorsqu'il est activé, le framework supprime les touches reçues chaque fois que la fenêtre des vues est masquée par une autre fenêtre visible. C'est aussi simple que cela, réglez Le filtre se touche lorsqu'il est masqué à true, et votre application est protégée contre le tapjacking.
Bonne chance et à la semaine prochaine !
Il est parfois essentiel qu'une application soit en mesure de vérifier qu'une action est effectuée en toute connaissance de cause et avec le consentement de l'utilisateur, par exemple en accordant une demande d'autorisation, en effectuant un achat ou en cliquant sur une publicité. Malheureusement, une application malveillante pourrait tenter d'inciter l'utilisateur à effectuer ces actions sans le savoir, en dissimulant l'objectif de la vue.
https://developer.android.com/reference/android/view/View.html
Table des matières
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Ressources pour vous aider à démarrer
Secure Code Warrior named twice in the Gartner Hype Cycle for secure software engineering
Gartner names SCW twice. As AI agents take over more development, SCW gives you the capability and governance to adopt AI-driven development securely.
Secure coding learning that reflects real AI usage
Align secure coding training to real AI development activity — automatically assigning guidance to developers using AI tools, without manual intervention.Align secure coding training to real AI development activity — automatically assigning guidance to developers using AI tools, without manual intervention.
Train developers on the real risks in their code, whether human-written or AI-generated
Adaptive Learning auto-assigns targeted secure coding training to the developers introducing real vulnerabilities, reducing recurring risks at the source.Secure Code Warrior blog banner with a blue overlay over a developer working at a multi-monitor desk displaying code, alongside the headline 'Train developers on the real risks in their code.'l