基于Toast重复绘制机制的口令攻击技术

作     者：凌振 杨彦 刘睿钊 张悦 贾康 杨明 LING Zhen;YANG Yan;LIU Rui-Zhao;ZHANG Yue;JIA Kang;YANG Ming

作者机构：东南大学计算机科学与工程学院江苏南京211189 暨南大学网络空间安全学院广东广州510632 

基　　金：国家重点研发计划(2018YFB0803400) 国家自然科学基金(62022024,61972088,62072103,62072098) 江苏省自然科学基金优青项目(BK20190060) 

出 版 物：《软件学报》 (Journal of Software)

年 卷 期：2022年第33卷第6期

页      码：2047-2060页

摘      要：移动终端在飞速发展的同时也带来了安全问题,其中,口令是用户信息的第一道安全防线,因此针对用户口令的窃取攻击是主要的安全威胁之一.利用Android系统中Toast机制设计的缺陷,实现了一种基于Toast重复绘制机制的新型口令攻击.通过分析Android Toast机制的实现原理和功能特点,发现恶意应用可利用Java反射技术定制可获取用户点击事件的Toast钓鱼键盘.虽然Toast会自动定时消亡,但是由于Toast淡入淡出动画效果的设计缺陷,恶意应用可优化Toast绘制策略,通过重复绘制Toast钓鱼键盘使其长时间驻留并覆盖于系统键盘之上,从而实现对用户屏幕输入的隐蔽劫持.最后,攻击者可以通过分析用户点击在Toast钓鱼键盘上的坐标信息,结合实际键盘布局推测出用户输入的口令.在移动终端上实现该攻击并进行了用户实验,验证了该攻击的有效性、准确性和隐蔽性,结果表明:当口令长度为8时,攻击成功率为89%.发现的口令漏洞已在Android最新版本中得到修复.

主 题 词：口令攻击 Java反射 Toast重复绘制 

学科分类：08[工学] 0835[0835] 081202[081202] 0812[工学-测绘类] 

核心收录：

D　O　I：10.13328/j.cnki.jos.006568

馆 藏 号：203111991...