Abstract
The Android operating system is exposed to a phishing attack of stealing private information that a user enters into a web page. We have discovered two security vulnerabilities of the phishing attack. First, an always-on-top scheme allows malware to place a transparent user interface (UI) on the current top screen and intercept a user input. Second, the Android provides some APIs that allow malware to obtain the information of a currently visited web page. This paper introduces a phishing that attacks a web page by exploiting the two vulnerabilities. The attack detects a visit to a security-relevant web page and steals private information from the web page. Our experiments on popular web sites reveal that the attack is significantly accurate and dangerous.
안드로이드 운영체제는 웹페이지에서 사용자가 입력하는 보안 정보를 가로채는 피싱 공격에 노출되어 있다. 본 논문은 피싱 공격을 가능하게 하는, 두 가지 보안 취약점을 발견하였다. 첫째, always-on-top 기법은 공격 앱이 최상위 화면 위에 투명한 UI를 배치하여 사용자의 입력을 가로챌 수 있게 한다. 둘째, 공격 앱이 웹 브라우저가 현재 방문 중인 웹페이지의 정보를 안드로이드 API를 통해 접근할 수 있다. 본 논문은 이 취약점을 이용하여 웹페이지를 공격하는 기법을 제안한다. 이 기법은 보안 관련 웹페이지 방문을 탐지하고, 이 웹페이지에 입력하는 정보를 탈취한다. 인기 있는 웹사이트를 대상으로 한 실험을 통해 제안된 기법의 정확도와 공격 위험성을 확인하였다.