보안 코딩 기법: 탭재킹에 대해 알아보겠습니다.
“탭”과 “하이재킹”의 조합인 탭재킹이 바로 그 의미입니다.공격자가 사용자의 탭을 하이재킹하고 의도치 않은 일을 하도록 속이는 공격입니다.그러면 어떻게 작동하고 어떻게 방지할 수 있을까요?
화면 오버레이로 이야기를 시작하겠습니다.화면 오버레이 또는 구글에서 부르는 것처럼 TYPE_APPLICATION_OVERLAY 유형을 사용하는 창. 이러한 창은 다른 앱 위에 그려지는 창으로 대개 화면의 일부만 가립니다.이는 앱에서 새 권한을 요청할 때 자주 사용됩니다 (아래 예제 이미지 참조).
이 기능은 정말 멋지고 재미있습니다. 점점 더 많은 앱에서 이 기능을 사용하기 시작했습니다. 아래 스크린샷처럼 Facebook의 채팅 풍선이나 화면 구석에 있는 Google 지도 내비게이션을 생각해 보세요.
그러나 이러한 오버레이에는 몇 가지 보안 위험이 따릅니다.활성화된 화면 오버레이는 탭 소리를 들을 수 있는데, 그렇지 않으면 페이스북이 우리가 버블을 탭하거나 드래그했다는 것을 어떻게 알 수 있을까요?이렇게 하면 앱이 사용자를 염탐하고 잠재적으로 비밀번호와 신용카드 데이터를 훔칠 수 있습니다.
한 걸음 더 나아가 탭재킹이라는 용어의 유래가 바로 여기에 있습니다. 오버레이는 다른 앱 위에 사용자를 속여 다양한 작업을 수행하도록 유도할 수 있습니다.사용자는 자신이 오버레이와 상호작용하고 있다고 생각하지만 실제로는 탭이 기본 앱에서 작업을 수행하기도 합니다.이렇게 하면 오버레이가 사용자를 속여 특정 권한을 활성화하거나 일부 위험한 설정을 변경할 수 있습니다 (아래 설명 참조). 오래된 유튜브 비디오.
위의 데모 영상은 2010년에 유튜브에 업로드된 것이므로 이전 버전의 Android에서 진행되었습니다.하지만 이 공격은 오늘날에도 여전히 유효합니다. 취약성이 있습니다 Nougat 및 Marshmallow와 같은 최신 버전의 Android에서 탭재킹을 허용하는 기능이 밝혀졌습니다.
그럼 어떻게 할 수 있을까요?사용자로서 이러한 오버레이의 결과를 이해하고 오버레이를 사용하는 앱을 알아두는 것이 중요합니다.API 레벨 23 (Android 6.0 마시멜로) 부터 이 권한은 다음과 같은 권한이 되었습니다. 사용자가 명시적으로 권한을 부여해야 합니다..하지만, 그걸로 남아요 안드로이드의 50%사용자는 여전히 취약합니다.'다른 앱 위에 표시' 아래의 설정에서 어떤 앱이 이 권한을 사용하는지 여전히 확인할 수 있습니다.
개발자로서 사용자의 행동이 사용자의 충분한 지식과 동의를 얻어 수행되도록 하는 것은 우리의 책임입니다.Android는 뷰에 바로 이러한 작업을 수행할 수 있는 설정을 제공합니다. 가려진 경우 터치를 필터링합니다. 이 기능이 활성화되면 프레임워크는 뷰 창이 다른 보이는 창으로 인해 가려질 때마다 수신된 터치를 버립니다.아주 간단합니다. 다음과 같이 설정하세요. 가려진 경우 터치 필터링 true로 설정하면 앱이 탭재킹으로부터 안전합니다.
행운을 빕니다. 다음 주에 만나요!
때로는 권한 요청 승인, 구매 또는 광고 클릭과 같은 작업이 사용자의 완전한 지식과 동의를 얻어 수행되고 있는지 애플리케이션이 확인할 수 있어야 하는 경우가 있습니다.안타깝게도 악성 애플리케이션은 뷰의 의도된 목적을 숨기고 자신도 모르는 사이에 사용자가 이러한 작업을 수행하도록 속이려 할 수 있습니다.
https://developer.android.com/reference/android/view/View.html
때로는 애플리케이션이 사용자의 충분한 지식과 동의를 얻어 작업이 수행되고 있는지 확인할 수 있어야 하는 경우가 있습니다.
Chercheur en sécurité applicative - Ingénieur R&D - Doctorant
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Chercheur en sécurité applicative - Ingénieur R&D - Doctorant
“탭”과 “하이재킹”의 조합인 탭재킹이 바로 그 의미입니다.공격자가 사용자의 탭을 하이재킹하고 의도치 않은 일을 하도록 속이는 공격입니다.그러면 어떻게 작동하고 어떻게 방지할 수 있을까요?
화면 오버레이로 이야기를 시작하겠습니다.화면 오버레이 또는 구글에서 부르는 것처럼 TYPE_APPLICATION_OVERLAY 유형을 사용하는 창. 이러한 창은 다른 앱 위에 그려지는 창으로 대개 화면의 일부만 가립니다.이는 앱에서 새 권한을 요청할 때 자주 사용됩니다 (아래 예제 이미지 참조).
이 기능은 정말 멋지고 재미있습니다. 점점 더 많은 앱에서 이 기능을 사용하기 시작했습니다. 아래 스크린샷처럼 Facebook의 채팅 풍선이나 화면 구석에 있는 Google 지도 내비게이션을 생각해 보세요.
그러나 이러한 오버레이에는 몇 가지 보안 위험이 따릅니다.활성화된 화면 오버레이는 탭 소리를 들을 수 있는데, 그렇지 않으면 페이스북이 우리가 버블을 탭하거나 드래그했다는 것을 어떻게 알 수 있을까요?이렇게 하면 앱이 사용자를 염탐하고 잠재적으로 비밀번호와 신용카드 데이터를 훔칠 수 있습니다.
한 걸음 더 나아가 탭재킹이라는 용어의 유래가 바로 여기에 있습니다. 오버레이는 다른 앱 위에 사용자를 속여 다양한 작업을 수행하도록 유도할 수 있습니다.사용자는 자신이 오버레이와 상호작용하고 있다고 생각하지만 실제로는 탭이 기본 앱에서 작업을 수행하기도 합니다.이렇게 하면 오버레이가 사용자를 속여 특정 권한을 활성화하거나 일부 위험한 설정을 변경할 수 있습니다 (아래 설명 참조). 오래된 유튜브 비디오.
위의 데모 영상은 2010년에 유튜브에 업로드된 것이므로 이전 버전의 Android에서 진행되었습니다.하지만 이 공격은 오늘날에도 여전히 유효합니다. 취약성이 있습니다 Nougat 및 Marshmallow와 같은 최신 버전의 Android에서 탭재킹을 허용하는 기능이 밝혀졌습니다.
그럼 어떻게 할 수 있을까요?사용자로서 이러한 오버레이의 결과를 이해하고 오버레이를 사용하는 앱을 알아두는 것이 중요합니다.API 레벨 23 (Android 6.0 마시멜로) 부터 이 권한은 다음과 같은 권한이 되었습니다. 사용자가 명시적으로 권한을 부여해야 합니다..하지만, 그걸로 남아요 안드로이드의 50%사용자는 여전히 취약합니다.'다른 앱 위에 표시' 아래의 설정에서 어떤 앱이 이 권한을 사용하는지 여전히 확인할 수 있습니다.
개발자로서 사용자의 행동이 사용자의 충분한 지식과 동의를 얻어 수행되도록 하는 것은 우리의 책임입니다.Android는 뷰에 바로 이러한 작업을 수행할 수 있는 설정을 제공합니다. 가려진 경우 터치를 필터링합니다. 이 기능이 활성화되면 프레임워크는 뷰 창이 다른 보이는 창으로 인해 가려질 때마다 수신된 터치를 버립니다.아주 간단합니다. 다음과 같이 설정하세요. 가려진 경우 터치 필터링 true로 설정하면 앱이 탭재킹으로부터 안전합니다.
행운을 빕니다. 다음 주에 만나요!
때로는 권한 요청 승인, 구매 또는 광고 클릭과 같은 작업이 사용자의 완전한 지식과 동의를 얻어 수행되고 있는지 애플리케이션이 확인할 수 있어야 하는 경우가 있습니다.안타깝게도 악성 애플리케이션은 뷰의 의도된 목적을 숨기고 자신도 모르는 사이에 사용자가 이러한 작업을 수행하도록 속이려 할 수 있습니다.
https://developer.android.com/reference/android/view/View.html
“탭”과 “하이재킹”의 조합인 탭재킹이 바로 그 의미입니다.공격자가 사용자의 탭을 하이재킹하고 의도치 않은 일을 하도록 속이는 공격입니다.그러면 어떻게 작동하고 어떻게 방지할 수 있을까요?
화면 오버레이로 이야기를 시작하겠습니다.화면 오버레이 또는 구글에서 부르는 것처럼 TYPE_APPLICATION_OVERLAY 유형을 사용하는 창. 이러한 창은 다른 앱 위에 그려지는 창으로 대개 화면의 일부만 가립니다.이는 앱에서 새 권한을 요청할 때 자주 사용됩니다 (아래 예제 이미지 참조).
이 기능은 정말 멋지고 재미있습니다. 점점 더 많은 앱에서 이 기능을 사용하기 시작했습니다. 아래 스크린샷처럼 Facebook의 채팅 풍선이나 화면 구석에 있는 Google 지도 내비게이션을 생각해 보세요.
그러나 이러한 오버레이에는 몇 가지 보안 위험이 따릅니다.활성화된 화면 오버레이는 탭 소리를 들을 수 있는데, 그렇지 않으면 페이스북이 우리가 버블을 탭하거나 드래그했다는 것을 어떻게 알 수 있을까요?이렇게 하면 앱이 사용자를 염탐하고 잠재적으로 비밀번호와 신용카드 데이터를 훔칠 수 있습니다.
한 걸음 더 나아가 탭재킹이라는 용어의 유래가 바로 여기에 있습니다. 오버레이는 다른 앱 위에 사용자를 속여 다양한 작업을 수행하도록 유도할 수 있습니다.사용자는 자신이 오버레이와 상호작용하고 있다고 생각하지만 실제로는 탭이 기본 앱에서 작업을 수행하기도 합니다.이렇게 하면 오버레이가 사용자를 속여 특정 권한을 활성화하거나 일부 위험한 설정을 변경할 수 있습니다 (아래 설명 참조). 오래된 유튜브 비디오.
위의 데모 영상은 2010년에 유튜브에 업로드된 것이므로 이전 버전의 Android에서 진행되었습니다.하지만 이 공격은 오늘날에도 여전히 유효합니다. 취약성이 있습니다 Nougat 및 Marshmallow와 같은 최신 버전의 Android에서 탭재킹을 허용하는 기능이 밝혀졌습니다.
그럼 어떻게 할 수 있을까요?사용자로서 이러한 오버레이의 결과를 이해하고 오버레이를 사용하는 앱을 알아두는 것이 중요합니다.API 레벨 23 (Android 6.0 마시멜로) 부터 이 권한은 다음과 같은 권한이 되었습니다. 사용자가 명시적으로 권한을 부여해야 합니다..하지만, 그걸로 남아요 안드로이드의 50%사용자는 여전히 취약합니다.'다른 앱 위에 표시' 아래의 설정에서 어떤 앱이 이 권한을 사용하는지 여전히 확인할 수 있습니다.
개발자로서 사용자의 행동이 사용자의 충분한 지식과 동의를 얻어 수행되도록 하는 것은 우리의 책임입니다.Android는 뷰에 바로 이러한 작업을 수행할 수 있는 설정을 제공합니다. 가려진 경우 터치를 필터링합니다. 이 기능이 활성화되면 프레임워크는 뷰 창이 다른 보이는 창으로 인해 가려질 때마다 수신된 터치를 버립니다.아주 간단합니다. 다음과 같이 설정하세요. 가려진 경우 터치 필터링 true로 설정하면 앱이 탭재킹으로부터 안전합니다.
행운을 빕니다. 다음 주에 만나요!
때로는 권한 요청 승인, 구매 또는 광고 클릭과 같은 작업이 사용자의 완전한 지식과 동의를 얻어 수행되고 있는지 애플리케이션이 확인할 수 있어야 하는 경우가 있습니다.안타깝게도 악성 애플리케이션은 뷰의 의도된 목적을 숨기고 자신도 모르는 사이에 사용자가 이러한 작업을 수행하도록 속이려 할 수 있습니다.
https://developer.android.com/reference/android/view/View.html
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Chercheur en sécurité applicative - Ingénieur R&D - Doctorant
“탭”과 “하이재킹”의 조합인 탭재킹이 바로 그 의미입니다.공격자가 사용자의 탭을 하이재킹하고 의도치 않은 일을 하도록 속이는 공격입니다.그러면 어떻게 작동하고 어떻게 방지할 수 있을까요?
화면 오버레이로 이야기를 시작하겠습니다.화면 오버레이 또는 구글에서 부르는 것처럼 TYPE_APPLICATION_OVERLAY 유형을 사용하는 창. 이러한 창은 다른 앱 위에 그려지는 창으로 대개 화면의 일부만 가립니다.이는 앱에서 새 권한을 요청할 때 자주 사용됩니다 (아래 예제 이미지 참조).
이 기능은 정말 멋지고 재미있습니다. 점점 더 많은 앱에서 이 기능을 사용하기 시작했습니다. 아래 스크린샷처럼 Facebook의 채팅 풍선이나 화면 구석에 있는 Google 지도 내비게이션을 생각해 보세요.
그러나 이러한 오버레이에는 몇 가지 보안 위험이 따릅니다.활성화된 화면 오버레이는 탭 소리를 들을 수 있는데, 그렇지 않으면 페이스북이 우리가 버블을 탭하거나 드래그했다는 것을 어떻게 알 수 있을까요?이렇게 하면 앱이 사용자를 염탐하고 잠재적으로 비밀번호와 신용카드 데이터를 훔칠 수 있습니다.
한 걸음 더 나아가 탭재킹이라는 용어의 유래가 바로 여기에 있습니다. 오버레이는 다른 앱 위에 사용자를 속여 다양한 작업을 수행하도록 유도할 수 있습니다.사용자는 자신이 오버레이와 상호작용하고 있다고 생각하지만 실제로는 탭이 기본 앱에서 작업을 수행하기도 합니다.이렇게 하면 오버레이가 사용자를 속여 특정 권한을 활성화하거나 일부 위험한 설정을 변경할 수 있습니다 (아래 설명 참조). 오래된 유튜브 비디오.
위의 데모 영상은 2010년에 유튜브에 업로드된 것이므로 이전 버전의 Android에서 진행되었습니다.하지만 이 공격은 오늘날에도 여전히 유효합니다. 취약성이 있습니다 Nougat 및 Marshmallow와 같은 최신 버전의 Android에서 탭재킹을 허용하는 기능이 밝혀졌습니다.
그럼 어떻게 할 수 있을까요?사용자로서 이러한 오버레이의 결과를 이해하고 오버레이를 사용하는 앱을 알아두는 것이 중요합니다.API 레벨 23 (Android 6.0 마시멜로) 부터 이 권한은 다음과 같은 권한이 되었습니다. 사용자가 명시적으로 권한을 부여해야 합니다..하지만, 그걸로 남아요 안드로이드의 50%사용자는 여전히 취약합니다.'다른 앱 위에 표시' 아래의 설정에서 어떤 앱이 이 권한을 사용하는지 여전히 확인할 수 있습니다.
개발자로서 사용자의 행동이 사용자의 충분한 지식과 동의를 얻어 수행되도록 하는 것은 우리의 책임입니다.Android는 뷰에 바로 이러한 작업을 수행할 수 있는 설정을 제공합니다. 가려진 경우 터치를 필터링합니다. 이 기능이 활성화되면 프레임워크는 뷰 창이 다른 보이는 창으로 인해 가려질 때마다 수신된 터치를 버립니다.아주 간단합니다. 다음과 같이 설정하세요. 가려진 경우 터치 필터링 true로 설정하면 앱이 탭재킹으로부터 안전합니다.
행운을 빕니다. 다음 주에 만나요!
때로는 권한 요청 승인, 구매 또는 광고 클릭과 같은 작업이 사용자의 완전한 지식과 동의를 얻어 수행되고 있는지 애플리케이션이 확인할 수 있어야 하는 경우가 있습니다.안타깝게도 악성 애플리케이션은 뷰의 의도된 목적을 숨기고 자신도 모르는 사이에 사용자가 이러한 작업을 수행하도록 속이려 할 수 있습니다.
https://developer.android.com/reference/android/view/View.html
Table des matières
Chercheur en sécurité applicative - Ingénieur R&D - Doctorant
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
