最新网址:www.ppxs.net
滋滋滋~
无数用户的智能腕表在同一时间震动起来。
呃,是闹钟响了……
奇怪,我并没有在这个时候设定闹钟啊?
应用出bug了?
用户并没有特别在意,一些小程序偶尔抽个风也可以理解。
点击:停止。
用户看到的,伸出手指点击的只是腕表屏幕上的“停止”按键。
但覆盖在按键上的是一层透明界面,这个透明界面才是夏琳写出来的程序界面:
是否授权xx应用获得你的id和密码。
“授权!”
智能腕表触控界面劫持!
界面操作劫持攻击是一种基于视觉欺骗的会话劫持攻击,通过在应用界面的输入控件上覆盖一个不可见的框,让用户误以为是在操作可见控件。
所见并非所得!
如果只是做一个劫持界面,根本不用潜入闹钟应用后台,直接找到界面程序漏洞发起劫持攻击即可。
但后台能够控制所有闹钟在同一时间触发,他们时间紧迫,这是在短时间内获取最大数量用户数据的最佳方式。
这个世界几乎人人都有智能腕表,以保证他们在拔出脑机接口后,仍然能够收发网络信息。
智能腕表几乎从不会摘下,因为习惯了网络生活后,离开网络会极度缺乏安全感。在这个世界,离开网络大概就等于是瞎子聋子和智障吧……
当然,用户加载的闹钟应用并非来自同一家公司,所以夏琳选择了市场占有率最大的十家闹钟应用供应商进行潜入。不能覆盖所有的用户,但至少80%的数据能够获得!
几秒钟内,源源不断的用户id和密码被夏琳捕获。
最新网址:www.ppxs.net