攻击智能手机点击劫持攻击检测方法研究

第31卷第11期 计算机应用与软件 Vol.31 No〃 112014年11月 ComputerApplications and Software Nov〃 2014

智能手机点击劫持攻击检测方法研究

曹娇华1  2 苏璞睿1 应凌云1 闫 佳1 褚燕琴1

1 (中国科学院软件研究所 北京100190)

2 (中国科学院大学 北京100049)

摘 要 点击劫持通过欺骗用户点击经过伪装的界面元素达到攻击目的。移动互联网环境下智能手机的屏幕特征、手势识别、H T M L5支持度高等特性成为点击劫持新的利用点。深入分析并实验验证智能手机脆弱特性在此基础上提出点击劫持在智能手机上的潜在攻击方案。进而设计并实现一套有针对性的检测方案。该方案从静态页面和动态行为两个角度提取攻击特征并进行基于规则的量化评估与组合判定。实验结果表明该方案可以有效地降低传统页面特征检测方案的漏报和误报情况。

关键词 智能手机 点击劫持 触屏劫持 数据保护 浏览安全

中图分类号 TN393 文献标识码 A DOI: 10〃3969/j〃 issn〃 1000-386x〃2014〃 1 1 〃079

ON DETECTION APPOACH FOCLICKJACKING ATTACKS ON SMATPHONE

Cao Jiaohua1 2 Su Purui1 Ying Lingyun1 Yan Jia1 Chu Yanqin1

1 ( Institute of Software Chinese A ca demy of Scien cesB eijing 100190 China)

2 (Uni versity of Chinese A cademy of Scien ces Beijing 100049 China)

Abstract Clickjacking reaches its attacking purpose by luring the victims to click the disguised interface elements〃 In mobile internet en-vironment the specialities of smartphone such as screen feature gesture recognition and high-level support of HTML5 become the new availa-ble loopholes of clickjacking〃 In the paper we elaborately analyse and verify through the experiment the vulnerable characteristics of smartpho-nes and present on this basis the latent attacking scheme of clickjacking on smartphones thus design and implement a set of targeted detectionsolution〃 The solution extracts the attacking features from two perspectives of static webpage and dynamic behaviour and makes the rules-based quantitative assessment and combinational judgement〃 Experimental result illustrates that the solution can effectively reduce the falsenegatives and false positives of the traditional webpage feature detection scheme〃

Keywords Smartphone Clickjacking Tapjacking Data protection Browsing security

重不足。 Frame Busting是网站防御点击劫持攻击的主要策略0 引 言 利用JavaScript判断自身所在的位置以防止被其他网站内嵌。

研究显示约有14%的知名网站桌面版采取了Frame Busting措

点击劫持又叫作界面伪装(UI redressing) 通过欺骗用户点 施但是其移动版的Frame Busting应用比例几乎为零4 。更糟击攻击者精心伪装的界面元素来窃取其隐私信息或者远程控制 的是许多网站对于用户认证并不区分移动版和桌面版攻击者其主机。攻击者使用混淆框架将特定的界面元素用令人误解 可以很方便地劫持移动网站并获得桌面网站的认证权限。火狐的文本和图像加以覆盖从而将恶意代码或伪装代码嵌入到用 NoScript扩展的ClearClick功能13是一个较为成熟的客户端检户界面中。点击劫持利用网站现有漏洞或是同CSF、XSS等攻 测方案然而它的检测规则存在一些漏洞 16 且其移动版照搬击手段结合起来造成破坏5 。典型的攻击案例包括Flash play- 了桌面版的方案缺乏针对智能手机特有攻击手段的检测。er网站漏洞利用1 针对Facebook的likejacking攻击2 针对 综上智能手机点击劫持的研究意义主要有两点:①智能Twitter的Don’ tclick攻击3等。 手机点击劫持带来潜在的数据安全问题手机上的诸多隐私数

近年来移动互联网的发展呈现井喷之势其应用领域涵盖 据亟待保护。②智能手机新特性带来攻击方式的变化当前客户

性都为攻击实现带来了便利。智能手机点击劫持可能带来的安 收稿日期: 2013 01  10 。曹娇华硕士生主研领域:网络与系统全问题不容小觑。 安全。苏璞睿副研究员。应凌云助理研究员。闫佳博士生。褚燕

然而我们调研发现当前针对智能手机点击劫持的防御严 琴硕士生。

个角度提取攻击特征并进行基于预定义规则的量化评估与组 的数据安全问题日益凸显。手机浏览器作为重要应用程序可合判定弥补了现有检测系统仅从页面特征进行分析的不足之 能接触到手机上的诸多用户隐私数据甚至部分硬件设施并将处。本文主要贡献包括三个方面: 这些资源通过HTML接口等途径提供给网站应用。我们调研发①对比传统桌面点击劫持特点分析并总结智能手机点击劫 现HTML5的诸多新技术特性正逐渐将更多重要资源暴露给网持新特征提出了一种智能手机上的点击劫持潜在攻击方案。 站应用。表1展示了各主流手机浏览器对HTML5部分资源相②提出并实现了一套针对智能手机点击劫持攻击的检测 关API的支持情况。

除服务器端防御之外浏览器端防御也存在一些有效方案。 所示。我们采用三元组形式表示每个资源 esource( name  type 火狐No Script扩展的C learC lick功能专门用于防御点击劫持攻 weight) 。其中name表示资源名称 type表示资源类型weight表击 13 可用于检测遮挡内嵌元素、隐藏内嵌元素等欺骗行为是 示资源权重满足weight∈ 1 4 。

应用到实际中的一种成熟防御方案。Balduzzi等人在ClearClick 表2 智能手机脆弱资源分类

能手机点击劫持攻击特征的基础上提出一套相对完备的检测 2〃2 智能手机脆弱特性

防御方案。 智能手机具备一些和PC不同的特性可能被攻击者利用2 智能手机点击劫持潜在攻击本文从智能手机可能泄露的敏感资源与可能被利用的系统

2〃 1 智能手机脆弱资源 点击劫持具有多种潜在实现方式可行性很高。

近年来随着移动互联网的飞速发展智能手机等移动终端

劫持攻击、窃取用户隐私的可能方案。我们搭建了恶意网站网 图4 内嵌手机人人网发状态

站中有一个链接指向手机人人网。用户点击该链接时触发一 除传统的窃取认证信息、提交恶意请求外攻击者还可能利个透明的div元素覆盖到被点击处如图1 (b) (图中采用灰色 用HTML5接口窃取到手机的本地数据、GPS、摄像头等信息对做示意) 。 用户隐私造成更严重的威胁。

器服务器记录用户认证信息并将请求转发到真正的人人网 3〃 1 检测方案

人人网返回登录失败界面如图3(b)所示。这样在没有引起 检测方案的基本原理是当点击事件发生后对触发点击事用户怀疑的情况下我们窃取到了用户的人人网认证信息。 件的页面元素进行特征分析在页面特征分析无法做出攻击判

定的情况下对事件行为进行监控与分析最后结合页面与行为 清晰识别的最低基准值。 c1 、c2 、c3分别用来调整三者的威胁报警)为特征分析、攻击判定处理等三个模块。其中页面特征分析模块负责采集点击劫持相关触屏事件提取触发事件的元素及周 混淆类攻击主要通过页面重叠、拉伸变化等方式误导用户。边DOM结构的特征根据页面分析规则对页面特征的可疑度 因此我们将用户所见页面与实际点击页面的差异作为混淆性

断。攻击判定处理模块结合页面分析与行为分析的结果对攻击 差别百分比。

图5 智能手机点击劫持攻击检测框架 量化评估。由于隐藏、混淆和临时替换类攻击是三种相互独立

我们的检测流程如算法1所示。一次典型的检测过程首先 的攻击方式我们提取其中最具威胁性的攻击作为页面的攻击进行页面特征分析得到页面特征可疑度然后进行行为分析 特征如式(4) 。

得到行为威胁度最后根据页面和行为的分析结果进行组合判 page_threat=max(f change  fhide  fobfuscate ) (4)定。为了提高检测的效率我们首先对页面特征分析结果进行 行为特征分析模块在页面特征分析无法做出攻击判定的情况了一次预判对明显的攻击与非攻击事件直接做出判定处理从 下依据行为分析规则计算行为威胁度辅助攻击判定。而避免了进一步行为分析带来的系统开销。 我们提取了行为的核心特征将行为表示为四元组的形式

1 ClickjackingD etection( event e) 代表行为的目的域 time代表行为发生的时间。在此基础

2 page_threat = PageAn aly ze( e) ; 上我们对行为威胁度进行了量化表示如式(5) 。

3 if( page_threat  low) behave_threat=is_protectlist(destDomain) ×cp +

10 JudgeA_lert( page_threat behave_threat) ; / /组合判定 网站、支付网站并可由用户自定义添加;黑名单包括从

算法中PageAnalyze BehaveAnalyze JudgeAlert分别代表对 urlblacklist〃 com等四个黑名单检索网站中综合获得的100个钓

3〃2 规则设计

攻击判定结果依赖于内部规则的设计我们设计实现了页 定义比如将知名地图网站和GPS数据的关联值定义为4 。对面分析规则、行为分析规则和组合判定规则分别应用于页面特 于未确定关联资源的网站我们首先应用预设关联值1 在使用征分析、行为特征分析和攻击判定处理三个模块。 中根据用户的信任情况采用慢增快降模式调整。关联值调整方

页面分析规则是页面特征分析模块判断页面可疑度的依 式如算法2所示。

据。我们对隐藏、混淆、临时替换三类基本点击劫持攻击的特征 算法2 关联值调整算法

进行了量化评估从而更准确地判定页面可疑度。 输入:用户一次确认允许或不允许

隐藏类攻击常利用元素像素大小和透明度的变化达到隐藏 1 CorrelationAdjust( bool userConfirm)

恶意元素的目的。我们提取了宽度、长度和透明度三个参数的 2 if( userConfirm= true)

特征进行叠加计算以判定元素的隐藏性如式( 1) 。公式中参

数w、h、op分别表示被点击元素的宽度、长度、透明度元素的隐

藏性与它们的大小成反比。 r1 、r2 、 r3分别表示三者可以被人眼

3 if( correlationValue+0 5 4) 本构建方式、页面行为与数量如表6所示。

3〃3 规则参数分析 我们的原型系统以火狐浏览器插件形式对样本集进行检

在理论分析与实验的基础上我们设计了规则中各参数的 测。检测结果如表7所示。

预设值如表5所示。 表7 原型系统对样本集的检测结果

我们将页面特征的高危与低危阈值分别设置为0〃 8与0〃2 。 中的48个。其中 28个通过页面分析判定为攻击 20个通过页结合式( 1)可以计算得到当被点击元素的宽度或长度小于20 px  面和行为组合分析得到了正确结果。未被检测到的2个样本是或透明度小于0〃 3时被点击元素被判定为隐藏。 c1 、c2 、c3的 行为威胁度偏低的样本。可见检测系统虽然存在一定的漏报取值分别用于调整三个参数的报警范围使得宽度或长度处于 情况但是可以更有效地限制高威胁度的攻击行为。(20 px 30 px区间或者透明度处于(0〃 3 0〃 5区间的元素被 此外我们构造的非恶意样本大部分具备模糊攻击特征只判定为中危元素。通过式( 2)可以得到当用户所见页面与实际 有5个会被判定为页面威胁度低危。另外15个样本中有12个被点击页面的差异超过40%时页面混淆性被判定为高危。差 在行为分析阶段计算得到的行为威胁度值都非常小从而使式异处于 10%  40%区间时判定为中危。 ( 6)最终判定结果为0 。由此可见我们系统的行为分析模块有

在行为特征分析中我们对黑名单权重赋值为 4 访问黑名 效发挥了作用降低了单独页面分析可能造成的误报。单时可直接判定为高危行为;对保护名单权重赋值为1 从而对 火狐NoScript扩展中的ClearClick是目前比较成熟的浏览试图访问保护名单的行为进行更严格的检查。 器端检测方案之一我们使用ClearClick对样本集进行了检测。

攻击判定阈值threshold的选取需要满足两个条件。其一 ClearClick的检测结果如表8所示。

击4 实验与评估 由表8可见使用ClearClick对样本集进行检测产生了8个

漏报和7个误报。通过分析误报和漏报产生的原因可以看到

为了对系统的检测效果做出评估我们将对传统点击劫持 我们的系统相比ClearClick而言具有以下两点优势。首先实现方式的研究5  6  14与对智能手机攻击方案的研究相结合构 ClearClick对元素大小、透明度等参数进行了单一阈值限定这造了多种攻击样本放置到实验网站中。实际中的攻击还可以通 一方面使攻击者可以依据阈值调整攻击参数规避检测导致系过将恶意代码嵌入正常网站等方式实现。为了对误报情况做出 统漏报;另一方面也使部分非恶意网页由于具备模糊攻击特征评估我们构造了部分具备模糊攻击特征的非恶意样本。我们 而被判定为攻击导致系统产生较高误报率。而我们的系统通采用的实验样本集包括50个攻击样本和20个非恶意样本样 过将页面特征量化并与行为特征进行关联分析降低了产生漏

报和误报的可能。其次ClearClick在点击事件响应前进行检

测会被点击事件后发生的元素移动或者快速弹窗攻击规避。 att ack s/ 2008

而我们的系统中加入事件间隔时间的判定可以有效检测这种 15 esig J Clickjacking iphone attackEB/OL ejohn org /blog /click-类型的攻击。 jacking-iphone-attack 2008

当然我们的系统目前还存在一些局限如尚未考虑一些传 16 Seb astian Lekies M ario Heideri ch D ennis App elt et al On the fragili-统桌面点击劫持攻击方式如键盘互动、伪造鼠标等而这些攻 ty and limitations of current browser-provided clickjacking protection击方式在智能手机上将来可能被利用。另外由于我们的系统 schemes C WOOT’ 12 2 012

采用了行为实时监控检测开销相对NoScript有所增加。

(上接第282页)

5 结 语 表2 不同识别方法在不同分窗情况下的识别率(%)对比

识别方法 30° 90° 180° 360°本文深入研究了智能手机浏览器的点击劫持漏洞分析了 LDA+SVM 93 5 94 0 92 7 93 8

于传统页面特征分析方法我们的系统通过将页面特征量化并 双向2DLDA+SVM 95 2 94 9 95 3 95 1与行为特征关联分析的方式降低了漏报和误报情况。 双向2DLDA+LDA+SVM 97 6 97 3 97 2 97 5智能手机上的点击劫持攻击可能通过Web点击劫持和应

用劫持两种方式实现本文主要对浏览器上的点击劫持攻击进 5 结 语

行了研究。后续我们将进一步开展针对智能手机应用点击劫持

检测方法的研究。 本文采用双向2DLDA与LDA相结合的SA图像特征提取

方法结合了两种算法的优点在保留二维图像空间结构信息的

参 考 文献 同时最大限度地压缩了数据维数。仿真实验以合成孔径雷达

4  Gustav ydstedt Elie Bursztein Dan Boneh et al Busting frame bus- 参 考 文 献ting: a study of clickjacking vulnerabilities on popular sites

CW2 SP’ 10 2010  1  Zhao QPrincipe J C Supp ort Vector machine for SA automatic target5  Marcus Niemietz UI redressing: attacks and countermeasures revisited recog 2011 2001 37(2) :643-654

blogs sans org/appsecstreetfighter/2009/10/15/adoption-of-x-frame-options-header 2 009 别J 系统工程与电子技术2008 30( 3) :448-4499  InformAction NoScript firefox extension EB/OL http: / /noscript net  6  周书仁邵晶蒋加伏基于DCT与LDA的仿生人脸识别研究

2010 J计算机工程与应用2011 47( 13) :208-211

10 Marco Balduzzi Manuel Egele Engin Kirda et al A solution for the 7  Bryant MGarber F SVM classifier applied to the MSTA public dataautomated detection of clickjacking attacks C ASIACCS’10 2010 set J SPIE1999 3721 :355-360

11  Wang YiMin Doug BeckJiang Xuxian et al Automated web patrol 8  Srinivas Arunteja Gottipati Target Classification in SA Imageswith strider HoneyMonkeys: finding web sites that exploit browser vul- D Tennessee: Computer and Information Systems Engineering nerabilities C NDSS’ 06 2006 Tennessee State University 2010:52-54

12 Adam Barth Collin Jackson John C Mitchell Securing frame commu- 9  陈刚王宏琦孙显基于核函数原型和自适应遗传算法的SVM模nication in browsers C CACM’ 09 2009 型选择方法J 中国科学院研究生院学报2012 29( 1) :62-6413 Giorgio Maone Hello ClearClickgoodbye clickjacking! EB/ 10 Scott Papson The Exploitation of Multi-look Synthetic Aperture adarOL ht

14OL www gnucitizen org/blog/more-adv anced-clickj acking-ui-redress-