基于Toast重复绘制机制的口令攻击技术

移动终端在飞速发展的同时也带来了安全问题,其中,口令是用户信息的第一道安全防线,因此针对用户口令的窃取攻击是主要的安全威胁之一.利用Android系统中Toast机制设计的缺陷,实现了一种基于Toast重复绘制机制的新型口令攻击.通过分析Android Toast机制的实现原理和功能特点,发现恶意应用可利用Java反射技术定制可获取用户点击事件的Toast钓鱼键盘.虽然Toast会自动定时消亡,但是由于Toast淡入淡出动画效果的设计缺陷,恶意应用可优化Toast绘制策略,通过重复绘制Toast钓鱼键盘使其长时间驻留并覆盖于系统键盘之上,从而实现对用户屏幕输入的隐蔽劫持.最后,攻击者可以通过分析用户点击在Toast钓鱼键盘上的坐标信息,结合实际键盘布局推测出用户输入的口令.在移动终端上实现该攻击并进行了用户实验,验证了该攻击的有效性、准确性和隐蔽性,结果表明:当口令长度为8时,攻击成功率为89%.发现的口令漏洞已在Android最新版本中得到修复.

献给你 我最好的年华

青春不是桃面、丹唇、柔膝,而是深沉的意志,恢宏的想象,炙热的情感;青春是生命的深泉在涌流。——塞廖尔·厄尔曼有幸在最该努力的时候,踏入了母校的大门,这里是怯懦者的"地狱"、奋斗者的"天堂";有幸遇到了一群志同道合的伙伴,怀揣理想,奔向远方;有幸见证了中学老师的负责与灵秀,谆谆教诲让你坚定方向不再迷茫。高三一年,多少欢笑与泪水,熔铸成万千学子永远的心灵原乡,收获的不只是知识,还有成长。