보안 코딩 기법: 탭재킹에 대해 알아보겠습니다.
“탭”과 “하이재킹”의 조합인 탭재킹이 바로 그 의미입니다.공격자가 사용자의 탭을 하이재킹하고 의도치 않은 일을 하도록 속이는 공격입니다.그러면 어떻게 작동하고 어떻게 방지할 수 있을까요?
화면 오버레이로 이야기를 시작하겠습니다.화면 오버레이 또는 구글에서 부르는 것처럼 TYPE_APPLICATION_OVERLAY 유형을 사용하는 창. 이러한 창은 다른 앱 위에 그려지는 창으로 대개 화면의 일부만 가립니다.이는 앱에서 새 권한을 요청할 때 자주 사용됩니다 (아래 예제 이미지 참조).
이 기능은 정말 멋지고 재미있습니다. 점점 더 많은 앱에서 이 기능을 사용하기 시작했습니다. 아래 스크린샷처럼 Facebook의 채팅 풍선이나 화면 구석에 있는 Google 지도 내비게이션을 생각해 보세요.
그러나 이러한 오버레이에는 몇 가지 보안 위험이 따릅니다.활성화된 화면 오버레이는 탭 소리를 들을 수 있는데, 그렇지 않으면 페이스북이 우리가 버블을 탭하거나 드래그했다는 것을 어떻게 알 수 있을까요?이렇게 하면 앱이 사용자를 염탐하고 잠재적으로 비밀번호와 신용카드 데이터를 훔칠 수 있습니다.
한 걸음 더 나아가 탭재킹이라는 용어의 유래가 바로 여기에 있습니다. 오버레이는 다른 앱 위에 사용자를 속여 다양한 작업을 수행하도록 유도할 수 있습니다.사용자는 자신이 오버레이와 상호작용하고 있다고 생각하지만 실제로는 탭이 기본 앱에서 작업을 수행하기도 합니다.이렇게 하면 오버레이가 사용자를 속여 특정 권한을 활성화하거나 일부 위험한 설정을 변경할 수 있습니다 (아래 설명 참조). 오래된 유튜브 비디오.
위의 데모 영상은 2010년에 유튜브에 업로드된 것이므로 이전 버전의 Android에서 진행되었습니다.하지만 이 공격은 오늘날에도 여전히 유효합니다. 취약성이 있습니다 Nougat 및 Marshmallow와 같은 최신 버전의 Android에서 탭재킹을 허용하는 기능이 밝혀졌습니다.
그럼 어떻게 할 수 있을까요?사용자로서 이러한 오버레이의 결과를 이해하고 오버레이를 사용하는 앱을 알아두는 것이 중요합니다.API 레벨 23 (Android 6.0 마시멜로) 부터 이 권한은 다음과 같은 권한이 되었습니다. 사용자가 명시적으로 권한을 부여해야 합니다..하지만, 그걸로 남아요 안드로이드의 50%사용자는 여전히 취약합니다.'다른 앱 위에 표시' 아래의 설정에서 어떤 앱이 이 권한을 사용하는지 여전히 확인할 수 있습니다.
개발자로서 사용자의 행동이 사용자의 충분한 지식과 동의를 얻어 수행되도록 하는 것은 우리의 책임입니다.Android는 뷰에 바로 이러한 작업을 수행할 수 있는 설정을 제공합니다. 가려진 경우 터치를 필터링합니다. 이 기능이 활성화되면 프레임워크는 뷰 창이 다른 보이는 창으로 인해 가려질 때마다 수신된 터치를 버립니다.아주 간단합니다. 다음과 같이 설정하세요. 가려진 경우 터치 필터링 true로 설정하면 앱이 탭재킹으로부터 안전합니다.
행운을 빕니다. 다음 주에 만나요!
때로는 권한 요청 승인, 구매 또는 광고 클릭과 같은 작업이 사용자의 완전한 지식과 동의를 얻어 수행되고 있는지 애플리케이션이 확인할 수 있어야 하는 경우가 있습니다.안타깝게도 악성 애플리케이션은 뷰의 의도된 목적을 숨기고 자신도 모르는 사이에 사용자가 이러한 작업을 수행하도록 속이려 할 수 있습니다.
https://developer.android.com/reference/android/view/View.html
때로는 애플리케이션이 사용자의 충분한 지식과 동의를 얻어 작업이 수행되고 있는지 확인할 수 있어야 하는 경우가 있습니다.
Anwendungssicherheitsforscher - F&E-Ingenieur - PhD-Kandidat
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Anwendungssicherheitsforscher - F&E-Ingenieur - PhD-Kandidat
“탭”과 “하이재킹”의 조합인 탭재킹이 바로 그 의미입니다.공격자가 사용자의 탭을 하이재킹하고 의도치 않은 일을 하도록 속이는 공격입니다.그러면 어떻게 작동하고 어떻게 방지할 수 있을까요?
화면 오버레이로 이야기를 시작하겠습니다.화면 오버레이 또는 구글에서 부르는 것처럼 TYPE_APPLICATION_OVERLAY 유형을 사용하는 창. 이러한 창은 다른 앱 위에 그려지는 창으로 대개 화면의 일부만 가립니다.이는 앱에서 새 권한을 요청할 때 자주 사용됩니다 (아래 예제 이미지 참조).
이 기능은 정말 멋지고 재미있습니다. 점점 더 많은 앱에서 이 기능을 사용하기 시작했습니다. 아래 스크린샷처럼 Facebook의 채팅 풍선이나 화면 구석에 있는 Google 지도 내비게이션을 생각해 보세요.
그러나 이러한 오버레이에는 몇 가지 보안 위험이 따릅니다.활성화된 화면 오버레이는 탭 소리를 들을 수 있는데, 그렇지 않으면 페이스북이 우리가 버블을 탭하거나 드래그했다는 것을 어떻게 알 수 있을까요?이렇게 하면 앱이 사용자를 염탐하고 잠재적으로 비밀번호와 신용카드 데이터를 훔칠 수 있습니다.
한 걸음 더 나아가 탭재킹이라는 용어의 유래가 바로 여기에 있습니다. 오버레이는 다른 앱 위에 사용자를 속여 다양한 작업을 수행하도록 유도할 수 있습니다.사용자는 자신이 오버레이와 상호작용하고 있다고 생각하지만 실제로는 탭이 기본 앱에서 작업을 수행하기도 합니다.이렇게 하면 오버레이가 사용자를 속여 특정 권한을 활성화하거나 일부 위험한 설정을 변경할 수 있습니다 (아래 설명 참조). 오래된 유튜브 비디오.
위의 데모 영상은 2010년에 유튜브에 업로드된 것이므로 이전 버전의 Android에서 진행되었습니다.하지만 이 공격은 오늘날에도 여전히 유효합니다. 취약성이 있습니다 Nougat 및 Marshmallow와 같은 최신 버전의 Android에서 탭재킹을 허용하는 기능이 밝혀졌습니다.
그럼 어떻게 할 수 있을까요?사용자로서 이러한 오버레이의 결과를 이해하고 오버레이를 사용하는 앱을 알아두는 것이 중요합니다.API 레벨 23 (Android 6.0 마시멜로) 부터 이 권한은 다음과 같은 권한이 되었습니다. 사용자가 명시적으로 권한을 부여해야 합니다..하지만, 그걸로 남아요 안드로이드의 50%사용자는 여전히 취약합니다.'다른 앱 위에 표시' 아래의 설정에서 어떤 앱이 이 권한을 사용하는지 여전히 확인할 수 있습니다.
개발자로서 사용자의 행동이 사용자의 충분한 지식과 동의를 얻어 수행되도록 하는 것은 우리의 책임입니다.Android는 뷰에 바로 이러한 작업을 수행할 수 있는 설정을 제공합니다. 가려진 경우 터치를 필터링합니다. 이 기능이 활성화되면 프레임워크는 뷰 창이 다른 보이는 창으로 인해 가려질 때마다 수신된 터치를 버립니다.아주 간단합니다. 다음과 같이 설정하세요. 가려진 경우 터치 필터링 true로 설정하면 앱이 탭재킹으로부터 안전합니다.
행운을 빕니다. 다음 주에 만나요!
때로는 권한 요청 승인, 구매 또는 광고 클릭과 같은 작업이 사용자의 완전한 지식과 동의를 얻어 수행되고 있는지 애플리케이션이 확인할 수 있어야 하는 경우가 있습니다.안타깝게도 악성 애플리케이션은 뷰의 의도된 목적을 숨기고 자신도 모르는 사이에 사용자가 이러한 작업을 수행하도록 속이려 할 수 있습니다.
https://developer.android.com/reference/android/view/View.html
“탭”과 “하이재킹”의 조합인 탭재킹이 바로 그 의미입니다.공격자가 사용자의 탭을 하이재킹하고 의도치 않은 일을 하도록 속이는 공격입니다.그러면 어떻게 작동하고 어떻게 방지할 수 있을까요?
화면 오버레이로 이야기를 시작하겠습니다.화면 오버레이 또는 구글에서 부르는 것처럼 TYPE_APPLICATION_OVERLAY 유형을 사용하는 창. 이러한 창은 다른 앱 위에 그려지는 창으로 대개 화면의 일부만 가립니다.이는 앱에서 새 권한을 요청할 때 자주 사용됩니다 (아래 예제 이미지 참조).
이 기능은 정말 멋지고 재미있습니다. 점점 더 많은 앱에서 이 기능을 사용하기 시작했습니다. 아래 스크린샷처럼 Facebook의 채팅 풍선이나 화면 구석에 있는 Google 지도 내비게이션을 생각해 보세요.
그러나 이러한 오버레이에는 몇 가지 보안 위험이 따릅니다.활성화된 화면 오버레이는 탭 소리를 들을 수 있는데, 그렇지 않으면 페이스북이 우리가 버블을 탭하거나 드래그했다는 것을 어떻게 알 수 있을까요?이렇게 하면 앱이 사용자를 염탐하고 잠재적으로 비밀번호와 신용카드 데이터를 훔칠 수 있습니다.
한 걸음 더 나아가 탭재킹이라는 용어의 유래가 바로 여기에 있습니다. 오버레이는 다른 앱 위에 사용자를 속여 다양한 작업을 수행하도록 유도할 수 있습니다.사용자는 자신이 오버레이와 상호작용하고 있다고 생각하지만 실제로는 탭이 기본 앱에서 작업을 수행하기도 합니다.이렇게 하면 오버레이가 사용자를 속여 특정 권한을 활성화하거나 일부 위험한 설정을 변경할 수 있습니다 (아래 설명 참조). 오래된 유튜브 비디오.
위의 데모 영상은 2010년에 유튜브에 업로드된 것이므로 이전 버전의 Android에서 진행되었습니다.하지만 이 공격은 오늘날에도 여전히 유효합니다. 취약성이 있습니다 Nougat 및 Marshmallow와 같은 최신 버전의 Android에서 탭재킹을 허용하는 기능이 밝혀졌습니다.
그럼 어떻게 할 수 있을까요?사용자로서 이러한 오버레이의 결과를 이해하고 오버레이를 사용하는 앱을 알아두는 것이 중요합니다.API 레벨 23 (Android 6.0 마시멜로) 부터 이 권한은 다음과 같은 권한이 되었습니다. 사용자가 명시적으로 권한을 부여해야 합니다..하지만, 그걸로 남아요 안드로이드의 50%사용자는 여전히 취약합니다.'다른 앱 위에 표시' 아래의 설정에서 어떤 앱이 이 권한을 사용하는지 여전히 확인할 수 있습니다.
개발자로서 사용자의 행동이 사용자의 충분한 지식과 동의를 얻어 수행되도록 하는 것은 우리의 책임입니다.Android는 뷰에 바로 이러한 작업을 수행할 수 있는 설정을 제공합니다. 가려진 경우 터치를 필터링합니다. 이 기능이 활성화되면 프레임워크는 뷰 창이 다른 보이는 창으로 인해 가려질 때마다 수신된 터치를 버립니다.아주 간단합니다. 다음과 같이 설정하세요. 가려진 경우 터치 필터링 true로 설정하면 앱이 탭재킹으로부터 안전합니다.
행운을 빕니다. 다음 주에 만나요!
때로는 권한 요청 승인, 구매 또는 광고 클릭과 같은 작업이 사용자의 완전한 지식과 동의를 얻어 수행되고 있는지 애플리케이션이 확인할 수 있어야 하는 경우가 있습니다.안타깝게도 악성 애플리케이션은 뷰의 의도된 목적을 숨기고 자신도 모르는 사이에 사용자가 이러한 작업을 수행하도록 속이려 할 수 있습니다.
https://developer.android.com/reference/android/view/View.html
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Anwendungssicherheitsforscher - F&E-Ingenieur - PhD-Kandidat
“탭”과 “하이재킹”의 조합인 탭재킹이 바로 그 의미입니다.공격자가 사용자의 탭을 하이재킹하고 의도치 않은 일을 하도록 속이는 공격입니다.그러면 어떻게 작동하고 어떻게 방지할 수 있을까요?
화면 오버레이로 이야기를 시작하겠습니다.화면 오버레이 또는 구글에서 부르는 것처럼 TYPE_APPLICATION_OVERLAY 유형을 사용하는 창. 이러한 창은 다른 앱 위에 그려지는 창으로 대개 화면의 일부만 가립니다.이는 앱에서 새 권한을 요청할 때 자주 사용됩니다 (아래 예제 이미지 참조).
이 기능은 정말 멋지고 재미있습니다. 점점 더 많은 앱에서 이 기능을 사용하기 시작했습니다. 아래 스크린샷처럼 Facebook의 채팅 풍선이나 화면 구석에 있는 Google 지도 내비게이션을 생각해 보세요.
그러나 이러한 오버레이에는 몇 가지 보안 위험이 따릅니다.활성화된 화면 오버레이는 탭 소리를 들을 수 있는데, 그렇지 않으면 페이스북이 우리가 버블을 탭하거나 드래그했다는 것을 어떻게 알 수 있을까요?이렇게 하면 앱이 사용자를 염탐하고 잠재적으로 비밀번호와 신용카드 데이터를 훔칠 수 있습니다.
한 걸음 더 나아가 탭재킹이라는 용어의 유래가 바로 여기에 있습니다. 오버레이는 다른 앱 위에 사용자를 속여 다양한 작업을 수행하도록 유도할 수 있습니다.사용자는 자신이 오버레이와 상호작용하고 있다고 생각하지만 실제로는 탭이 기본 앱에서 작업을 수행하기도 합니다.이렇게 하면 오버레이가 사용자를 속여 특정 권한을 활성화하거나 일부 위험한 설정을 변경할 수 있습니다 (아래 설명 참조). 오래된 유튜브 비디오.
위의 데모 영상은 2010년에 유튜브에 업로드된 것이므로 이전 버전의 Android에서 진행되었습니다.하지만 이 공격은 오늘날에도 여전히 유효합니다. 취약성이 있습니다 Nougat 및 Marshmallow와 같은 최신 버전의 Android에서 탭재킹을 허용하는 기능이 밝혀졌습니다.
그럼 어떻게 할 수 있을까요?사용자로서 이러한 오버레이의 결과를 이해하고 오버레이를 사용하는 앱을 알아두는 것이 중요합니다.API 레벨 23 (Android 6.0 마시멜로) 부터 이 권한은 다음과 같은 권한이 되었습니다. 사용자가 명시적으로 권한을 부여해야 합니다..하지만, 그걸로 남아요 안드로이드의 50%사용자는 여전히 취약합니다.'다른 앱 위에 표시' 아래의 설정에서 어떤 앱이 이 권한을 사용하는지 여전히 확인할 수 있습니다.
개발자로서 사용자의 행동이 사용자의 충분한 지식과 동의를 얻어 수행되도록 하는 것은 우리의 책임입니다.Android는 뷰에 바로 이러한 작업을 수행할 수 있는 설정을 제공합니다. 가려진 경우 터치를 필터링합니다. 이 기능이 활성화되면 프레임워크는 뷰 창이 다른 보이는 창으로 인해 가려질 때마다 수신된 터치를 버립니다.아주 간단합니다. 다음과 같이 설정하세요. 가려진 경우 터치 필터링 true로 설정하면 앱이 탭재킹으로부터 안전합니다.
행운을 빕니다. 다음 주에 만나요!
때로는 권한 요청 승인, 구매 또는 광고 클릭과 같은 작업이 사용자의 완전한 지식과 동의를 얻어 수행되고 있는지 애플리케이션이 확인할 수 있어야 하는 경우가 있습니다.안타깝게도 악성 애플리케이션은 뷰의 의도된 목적을 숨기고 자신도 모르는 사이에 사용자가 이러한 작업을 수행하도록 속이려 할 수 있습니다.
https://developer.android.com/reference/android/view/View.html
Inhaltsverzeichnis
Anwendungssicherheitsforscher - F&E-Ingenieur - PhD-Kandidat
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
