Technique de codage sécurisée : parlons du Tapjacking
C'est exactement ce que signifie le tapjacking, une combinaison de « tap » et de « hijacking ». Il s'agit d'une attaque au cours de laquelle l'attaquant détourne les tapotements de l'utilisateur et l'incite à faire quelque chose dont il n'avait pas l'intention. Alors, comment cela fonctionne-t-il et comment l'éviter ?
Nous allons commencer notre histoire avec des superpositions d'écran. Superpositions d'écran ou, comme les appelle Google, fenêtres utilisant le type TYPE_APPLICATION_OVERLAY. Il s'agit de fenêtres dessinées au-dessus d'autres applications et qui ne masquent généralement qu'une partie de l'écran. Elles sont souvent utilisées (comme l'exemple d'image ci-dessous) lorsqu'une application demande de nouvelles autorisations.
Il s'agit en fait d'une fonctionnalité intéressante et amusante et de plus en plus d'applications commencent à l'utiliser. Pensez aux bulles de discussion de Facebook ou à la navigation sur Google Maps dans un coin de votre écran, comme dans la capture d'écran ci-dessous.
Cependant, ces superpositions présentent certains risques de sécurité. Toute superposition d'écran active peut écouter les tapotements. Sinon, comment Facebook pourrait-il savoir que nous avons tapé ou fait glisser la bulle ? Cela permet aux applications de vous espionner et de voler potentiellement des mots de passe et des données de carte de crédit.
Une étape plus loin, et c'est de là que vient le terme tapjacking, les superpositions peuvent dessiner des éléments au-dessus d'autres applications en incitant l'utilisateur à effectuer différentes actions. L'utilisateur pense qu'il interagit avec la superposition, mais en réalité, ses touches exécutent également des actions dans l'application sous-jacente. De cette façon, la superposition peut vous inciter à activer certaines autorisations ou à modifier certains paramètres dangereux, comme illustré dans ce ancienne vidéo YouTube.
La vidéo de démonstration ci-dessus a été mise en ligne sur YouTube en 2010, elle a donc été réalisée sur une ancienne version d'Android. Mais l'attaque est toujours d'actualité aujourd'hui, car vulnérabilités a été découvert qui permet le tapjacking dans les nouvelles versions d'Android telles que Nougat et Marshmallow.
Alors, que peux-tu y faire ? En tant qu'utilisateur, il est important de prendre conscience des conséquences de ces superpositions et de connaître les applications qui les utilisent. À partir du niveau d'API 23 (Android 6.0 Marshmallow), c'est devenu une autorisation qui doit être explicitement accordé par l'utilisateur. Cependant, cela laisse 50 % d'Androidles utilisateurs restent vulnérables. Vous pouvez toujours vérifier quelles applications utilisent cette autorisation dans les paramètres sous « Afficher sur d'autres applications ».
En tant que développeurs, il nous appartient de nous assurer que les actions des utilisateurs sont effectuées en toute connaissance de cause et avec leur consentement. Android fournit un paramètre pour vos vues qui font exactement cela, appelé Le filtre touche lorsqu'il est masqué. Lorsqu'il est activé, le framework supprime les touches reçues chaque fois que la fenêtre des vues est masquée par une autre fenêtre visible. C'est aussi simple que cela, réglez Le filtre se touche lorsqu'il est masqué à true, et votre application est protégée contre le tapjacking.
Bonne chance et à la semaine prochaine !
Il est parfois essentiel qu'une application soit en mesure de vérifier qu'une action est effectuée en toute connaissance de cause et avec le consentement de l'utilisateur, par exemple en accordant une demande d'autorisation, en effectuant un achat ou en cliquant sur une publicité. Malheureusement, une application malveillante pourrait tenter d'inciter l'utilisateur à effectuer ces actions sans le savoir, en dissimulant l'objectif de la vue.
https://developer.android.com/reference/android/view/View.html
Parfois, il est essentiel qu'une application soit en mesure de vérifier qu'une action est exécutée en toute connaissance de cause et avec le consentement de l'utilisateur
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
C'est exactement ce que signifie le tapjacking, une combinaison de « tap » et de « hijacking ». Il s'agit d'une attaque au cours de laquelle l'attaquant détourne les tapotements de l'utilisateur et l'incite à faire quelque chose dont il n'avait pas l'intention. Alors, comment cela fonctionne-t-il et comment l'éviter ?
Nous allons commencer notre histoire avec des superpositions d'écran. Superpositions d'écran ou, comme les appelle Google, fenêtres utilisant le type TYPE_APPLICATION_OVERLAY. Il s'agit de fenêtres dessinées au-dessus d'autres applications et qui ne masquent généralement qu'une partie de l'écran. Elles sont souvent utilisées (comme l'exemple d'image ci-dessous) lorsqu'une application demande de nouvelles autorisations.
Il s'agit en fait d'une fonctionnalité intéressante et amusante et de plus en plus d'applications commencent à l'utiliser. Pensez aux bulles de discussion de Facebook ou à la navigation sur Google Maps dans un coin de votre écran, comme dans la capture d'écran ci-dessous.
Cependant, ces superpositions présentent certains risques de sécurité. Toute superposition d'écran active peut écouter les tapotements. Sinon, comment Facebook pourrait-il savoir que nous avons tapé ou fait glisser la bulle ? Cela permet aux applications de vous espionner et de voler potentiellement des mots de passe et des données de carte de crédit.
Une étape plus loin, et c'est de là que vient le terme tapjacking, les superpositions peuvent dessiner des éléments au-dessus d'autres applications en incitant l'utilisateur à effectuer différentes actions. L'utilisateur pense qu'il interagit avec la superposition, mais en réalité, ses touches exécutent également des actions dans l'application sous-jacente. De cette façon, la superposition peut vous inciter à activer certaines autorisations ou à modifier certains paramètres dangereux, comme illustré dans ce ancienne vidéo YouTube.
La vidéo de démonstration ci-dessus a été mise en ligne sur YouTube en 2010, elle a donc été réalisée sur une ancienne version d'Android. Mais l'attaque est toujours d'actualité aujourd'hui, car vulnérabilités a été découvert qui permet le tapjacking dans les nouvelles versions d'Android telles que Nougat et Marshmallow.
Alors, que peux-tu y faire ? En tant qu'utilisateur, il est important de prendre conscience des conséquences de ces superpositions et de connaître les applications qui les utilisent. À partir du niveau d'API 23 (Android 6.0 Marshmallow), c'est devenu une autorisation qui doit être explicitement accordé par l'utilisateur. Cependant, cela laisse 50 % d'Androidles utilisateurs restent vulnérables. Vous pouvez toujours vérifier quelles applications utilisent cette autorisation dans les paramètres sous « Afficher sur d'autres applications ».
En tant que développeurs, il nous appartient de nous assurer que les actions des utilisateurs sont effectuées en toute connaissance de cause et avec leur consentement. Android fournit un paramètre pour vos vues qui font exactement cela, appelé Le filtre touche lorsqu'il est masqué. Lorsqu'il est activé, le framework supprime les touches reçues chaque fois que la fenêtre des vues est masquée par une autre fenêtre visible. C'est aussi simple que cela, réglez Le filtre se touche lorsqu'il est masqué à true, et votre application est protégée contre le tapjacking.
Bonne chance et à la semaine prochaine !
Il est parfois essentiel qu'une application soit en mesure de vérifier qu'une action est effectuée en toute connaissance de cause et avec le consentement de l'utilisateur, par exemple en accordant une demande d'autorisation, en effectuant un achat ou en cliquant sur une publicité. Malheureusement, une application malveillante pourrait tenter d'inciter l'utilisateur à effectuer ces actions sans le savoir, en dissimulant l'objectif de la vue.
https://developer.android.com/reference/android/view/View.html
C'est exactement ce que signifie le tapjacking, une combinaison de « tap » et de « hijacking ». Il s'agit d'une attaque au cours de laquelle l'attaquant détourne les tapotements de l'utilisateur et l'incite à faire quelque chose dont il n'avait pas l'intention. Alors, comment cela fonctionne-t-il et comment l'éviter ?
Nous allons commencer notre histoire avec des superpositions d'écran. Superpositions d'écran ou, comme les appelle Google, fenêtres utilisant le type TYPE_APPLICATION_OVERLAY. Il s'agit de fenêtres dessinées au-dessus d'autres applications et qui ne masquent généralement qu'une partie de l'écran. Elles sont souvent utilisées (comme l'exemple d'image ci-dessous) lorsqu'une application demande de nouvelles autorisations.
Il s'agit en fait d'une fonctionnalité intéressante et amusante et de plus en plus d'applications commencent à l'utiliser. Pensez aux bulles de discussion de Facebook ou à la navigation sur Google Maps dans un coin de votre écran, comme dans la capture d'écran ci-dessous.
Cependant, ces superpositions présentent certains risques de sécurité. Toute superposition d'écran active peut écouter les tapotements. Sinon, comment Facebook pourrait-il savoir que nous avons tapé ou fait glisser la bulle ? Cela permet aux applications de vous espionner et de voler potentiellement des mots de passe et des données de carte de crédit.
Une étape plus loin, et c'est de là que vient le terme tapjacking, les superpositions peuvent dessiner des éléments au-dessus d'autres applications en incitant l'utilisateur à effectuer différentes actions. L'utilisateur pense qu'il interagit avec la superposition, mais en réalité, ses touches exécutent également des actions dans l'application sous-jacente. De cette façon, la superposition peut vous inciter à activer certaines autorisations ou à modifier certains paramètres dangereux, comme illustré dans ce ancienne vidéo YouTube.
La vidéo de démonstration ci-dessus a été mise en ligne sur YouTube en 2010, elle a donc été réalisée sur une ancienne version d'Android. Mais l'attaque est toujours d'actualité aujourd'hui, car vulnérabilités a été découvert qui permet le tapjacking dans les nouvelles versions d'Android telles que Nougat et Marshmallow.
Alors, que peux-tu y faire ? En tant qu'utilisateur, il est important de prendre conscience des conséquences de ces superpositions et de connaître les applications qui les utilisent. À partir du niveau d'API 23 (Android 6.0 Marshmallow), c'est devenu une autorisation qui doit être explicitement accordé par l'utilisateur. Cependant, cela laisse 50 % d'Androidles utilisateurs restent vulnérables. Vous pouvez toujours vérifier quelles applications utilisent cette autorisation dans les paramètres sous « Afficher sur d'autres applications ».
En tant que développeurs, il nous appartient de nous assurer que les actions des utilisateurs sont effectuées en toute connaissance de cause et avec leur consentement. Android fournit un paramètre pour vos vues qui font exactement cela, appelé Le filtre touche lorsqu'il est masqué. Lorsqu'il est activé, le framework supprime les touches reçues chaque fois que la fenêtre des vues est masquée par une autre fenêtre visible. C'est aussi simple que cela, réglez Le filtre se touche lorsqu'il est masqué à true, et votre application est protégée contre le tapjacking.
Bonne chance et à la semaine prochaine !
Il est parfois essentiel qu'une application soit en mesure de vérifier qu'une action est effectuée en toute connaissance de cause et avec le consentement de l'utilisateur, par exemple en accordant une demande d'autorisation, en effectuant un achat ou en cliquant sur une publicité. Malheureusement, une application malveillante pourrait tenter d'inciter l'utilisateur à effectuer ces actions sans le savoir, en dissimulant l'objectif de la vue.
https://developer.android.com/reference/android/view/View.html
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
C'est exactement ce que signifie le tapjacking, une combinaison de « tap » et de « hijacking ». Il s'agit d'une attaque au cours de laquelle l'attaquant détourne les tapotements de l'utilisateur et l'incite à faire quelque chose dont il n'avait pas l'intention. Alors, comment cela fonctionne-t-il et comment l'éviter ?
Nous allons commencer notre histoire avec des superpositions d'écran. Superpositions d'écran ou, comme les appelle Google, fenêtres utilisant le type TYPE_APPLICATION_OVERLAY. Il s'agit de fenêtres dessinées au-dessus d'autres applications et qui ne masquent généralement qu'une partie de l'écran. Elles sont souvent utilisées (comme l'exemple d'image ci-dessous) lorsqu'une application demande de nouvelles autorisations.
Il s'agit en fait d'une fonctionnalité intéressante et amusante et de plus en plus d'applications commencent à l'utiliser. Pensez aux bulles de discussion de Facebook ou à la navigation sur Google Maps dans un coin de votre écran, comme dans la capture d'écran ci-dessous.
Cependant, ces superpositions présentent certains risques de sécurité. Toute superposition d'écran active peut écouter les tapotements. Sinon, comment Facebook pourrait-il savoir que nous avons tapé ou fait glisser la bulle ? Cela permet aux applications de vous espionner et de voler potentiellement des mots de passe et des données de carte de crédit.
Une étape plus loin, et c'est de là que vient le terme tapjacking, les superpositions peuvent dessiner des éléments au-dessus d'autres applications en incitant l'utilisateur à effectuer différentes actions. L'utilisateur pense qu'il interagit avec la superposition, mais en réalité, ses touches exécutent également des actions dans l'application sous-jacente. De cette façon, la superposition peut vous inciter à activer certaines autorisations ou à modifier certains paramètres dangereux, comme illustré dans ce ancienne vidéo YouTube.
La vidéo de démonstration ci-dessus a été mise en ligne sur YouTube en 2010, elle a donc été réalisée sur une ancienne version d'Android. Mais l'attaque est toujours d'actualité aujourd'hui, car vulnérabilités a été découvert qui permet le tapjacking dans les nouvelles versions d'Android telles que Nougat et Marshmallow.
Alors, que peux-tu y faire ? En tant qu'utilisateur, il est important de prendre conscience des conséquences de ces superpositions et de connaître les applications qui les utilisent. À partir du niveau d'API 23 (Android 6.0 Marshmallow), c'est devenu une autorisation qui doit être explicitement accordé par l'utilisateur. Cependant, cela laisse 50 % d'Androidles utilisateurs restent vulnérables. Vous pouvez toujours vérifier quelles applications utilisent cette autorisation dans les paramètres sous « Afficher sur d'autres applications ».
En tant que développeurs, il nous appartient de nous assurer que les actions des utilisateurs sont effectuées en toute connaissance de cause et avec leur consentement. Android fournit un paramètre pour vos vues qui font exactement cela, appelé Le filtre touche lorsqu'il est masqué. Lorsqu'il est activé, le framework supprime les touches reçues chaque fois que la fenêtre des vues est masquée par une autre fenêtre visible. C'est aussi simple que cela, réglez Le filtre se touche lorsqu'il est masqué à true, et votre application est protégée contre le tapjacking.
Bonne chance et à la semaine prochaine !
Il est parfois essentiel qu'une application soit en mesure de vérifier qu'une action est effectuée en toute connaissance de cause et avec le consentement de l'utilisateur, par exemple en accordant une demande d'autorisation, en effectuant un achat ou en cliquant sur une publicité. Malheureusement, une application malveillante pourrait tenter d'inciter l'utilisateur à effectuer ces actions sans le savoir, en dissimulant l'objectif de la vue.
https://developer.android.com/reference/android/view/View.html
Inhaltsverzeichnis
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
