E-Coding Jul 14 at 20:18

Android. Кража данных через клавиатуру: миф или реальность?

Easy

4 min

Development for Android*Information Security*

Case

Comments 11

zamir__zakiev Jul 14 at 21:28

Так в итоге-то пароль не своровать, если он правильно размечен. Вектора атаки по сути и нет.

E-Coding Jul 15 at 07:43

Во многих приложениях есть кнопка "показа пароля", которая сводит на нет эту правильную разметку

zamir__zakiev Jul 15 at 09:54

Так вы же сами написали, что «сводит на нет» только если убирается inputType=password.

E-Coding Jul 15 at 17:41

Да. Этим и занимается эта кнопка "показать пароль"

house2008 yesterday at 04:48

Нас кажется дизайнеры заставили убрать inputType=password так как им не нравится системный компонент ввода пароля и пришлось рисовать свой на обычном текст компоненте, долго спорили но в конце концов дизайнеры > разрабов как бы это грустно не звучало. Но было давно, может и вернули обратно чтобы поднималась системная форма автоввода пароля из keychain. Речь про iOS в моем примере.

Lx6g1ZG1 Jul 14 at 23:30

который будет считывать все touch'и пользователя и слать их на сервер

Клавиатуре в сети делать нечего. Поэтому это по определению не сработает для более-менее продвинутых пользователей

E-Coding Jul 15 at 07:47

Все атаки тестировал на стандартной клавиатуре на устройстве. Идея была в том, чтобы попытаться проверить атаку на любой клавиатуре (не создавать свою кастомную). А в сеть спокойно можно уйти в через какой-нибудь сервис

Но про продвинутых пользователей согласен: вряд ли такой юзер даст осознанно разрешения сомнительным приложениям. Поэтому ЦА данной статьи - не осознанные пользователи (те же дети), которые могут на своем/родительском устройстве выдать разрешения, которые приведут к последующим проблемам

StackBook Jul 15 at 04:23

Кайфовая статья!

Наши веб-браузеры тоже по сути же мобильные приложухи. Интересно, например, в Яндекс браузере сработает сей трюк? 🤔

И работает ли это с PWA приложениями?

sbc2 Jul 15 at 05:00

у яндекса на это дело есть пунто свитчер, который шлёт в этот яндекс всё с клавы и не только в браузере, а вообще всё.

zamir__zakiev Jul 15 at 09:55

А потом незрячий зайдет к вам в приложение и не сможет авторизоваться, потому что вы ему все поля закрыли «для безопасности».

qw1 Jul 15 at 14:15

Это проблемы дизайна подсистемы доступности в Android.
Не должно быть никакого разрешения доступности на уровне приложения. Должен быть специальный режим ОС "для незрячих", который просто так не включишь, и который зрячим был бы неудобен, чтобы если кто-то его включил без ведома владельца, это бы моментально бросалось в глаза.