초록
안드로이드 운영체제는 웹페이지에서 사용자가 입력하는 보안 정보를 가로채는 피싱 공격에 노출되어 있다. 본 논문은 피싱 공격을 가능하게 하는, 두 가지 보안 취약점을 발견하였다. 첫째, always-on-top 기법은 공격 앱이 최상위 화면 위에 투명한 UI를 배치하여 사용자의 입력을 가로챌 수 있게 한다. 둘째, 공격 앱이 웹 브라우저가 현재 방문 중인 웹페이지의 정보를 안드로이드 API를 통해 접근할 수 있다. 본 논문은 이 취약점을 이용하여 웹페이지를 공격하는 기법을 제안한다. 이 기법은 보안 관련 웹페이지 방문을 탐지하고, 이 웹페이지에 입력하는 정보를 탈취한다. 인기 있는 웹사이트를 대상으로 한 실험을 통해 제안된 기법의 정확도와 공격 위험성을 확인하였다.
The Android operating system is exposed to a phishing attack of stealing private information that a user enters into a web page. We have discovered two security vulnerabilities of the phishing attack. First, an always-on-top scheme allows malware to place a transparent user interface (UI) on the current top screen and intercept a user input. Second, the Android provides some APIs that allow malware to obtain the information of a currently visited web page. This paper introduces a phishing that attacks a web page by exploiting the two vulnerabilities. The attack detects a visit to a security-relevant web page and steals private information from the web page. Our experiments on popular web sites reveal that the attack is significantly accurate and dangerous.