摸出來的安全問題

這個略帶老司機風格的標題其實講的是件嚴肅的事情。現在越來越多的公共場合有布置越來越多的帶觸屏的交互設備,功能雖然多種多樣,但都是為了便利尋常百姓的生活,一些設備涉及到的功能甚至還會將設備聯網。作為一名手癢的人,總會不自覺的嘗試摸一摸這些設備,嘗試發現和找到隱藏在背後的系統,公共場合的關係,所以多數時候只能做到交互界面逃逸,也就是退出到操作系統界面,即便如此,也得事後勤洗手,無論如何也還是要做一個講衛生的美男子。

現有的交互設備的應用類型,可以分為三類:Flash、網頁、APP,操作系統也分為三類:Windows、Android、Ubuntu。雖然是句籠統的廢話,但存在問題和利用手法大致有這麼幾種:

一摸、隱藏的軟鍵盤

Windows系統的交互屏幕上往往隱藏有軟鍵盤,位置也往往在屏幕左上角的位置,仔細觀察可以看到一條凸出來的鍵盤邊框,只要向右劃拉一下便可以拖出完整軟鍵盤。之後基本就可以為所欲為了。

二摸、調皮的右鍵菜單

對於Flash或者網頁的應用形式,在屏幕上可以看到觸摸的游標,不過是個圓形的點罷了,而在功能實現上,單點屏幕(相當於左鍵單擊)足夠了,卻忽略了長按可以彈出的菜單,而菜單項中的一些功能,足夠用來逃逸應用,比如幫助、列印等等功能。只要可以逃逸應用操作的限制,比如資源瀏覽器,就可以結束或關掉應用進入系統界面了。

三摸、遺漏的系統菜單

在Windows應用開發中,默認在標題欄有系統菜單,右鍵方可查看,而系統菜單的完整菜單項中有「關閉」選項。

四摸、大意的輸入框(法)

在有輸入交互的設計中,一些應用是自定義了九宮格或其他輸入方式,而一些則是直接套用了系統原生的軟鍵盤或者第三方輸入法。而對於第三方輸入法,豐富的功能也提供了豐富的逃逸方式,這種用法在擁有系統所有權的個人終端是沒有問題的,但在單一應用的交互中就會有問題。

五摸、來不及的響應

這種情況少之又少,但也不是不存在。唯一一次遭遇還是在機場被老婆搗鼓發現的,原因是觸摸屏終究還是有觸摸操作的相關進程,在快速的觸摸操作之下會導致相關進程的故障,並由此彈出故障報告框。之後就容易逃逸到操作系統界面了。

六摸、除此之外的手法

有些是多點觸摸,有些是反覆的揉搓,總之都是通過交互點和交互方式發現可疑的情況,比如有一台售賣機的交互屏,用三根手指在頂部向下拖拉,就可以看到轉瞬即逝的「退出全屏」按鈕,如此需要足夠的耐心。

如果細分的話,總是能湊出個十八摸。那麼這些點點點、摸摸摸有什麼用呢?像我這麼善良的人,自然沒什麼卵用,但沒這麼善良的人,進一步做的事自然會很多,特別是對於關係支付、身份的設備而言,存在的後果不說也可以想得到。比如某廠商的身份識別設備,就存在上面第4點問題,應用本身的管理密碼也成為了擺設,如此只要可接觸,就可以拿到所有通過這台設備認證的人臉、身份證照片等等。當然也理所應當的將這個問題反饋給了廠商進行修復。

需要額外說明的是,第五摸也可以算Bug,甚至有時候專業的IT民工也不見得可以很好的區分「BUG」和「漏洞」:

本該發生卻沒發生的事情叫Bug,比如小李和老婆結婚多年沒有孩子,這時該去協和醫院進行檢查;

不該發生卻發生的事情叫漏洞,比如老王和老婆一年沒見老婆卻懷了孩子,這時該去民政局辦理離婚。

推薦閱讀:

如何使用D-Link高端路由器構建殭屍網路
教你如何化解語音助手的「重大安全漏洞」——「海豚攻擊」
Windows遠程桌面漏洞Esteemaudit(CVE-2017-9073)補丁簡要分析
Apache OpenOffice更新修復四個中危漏洞
讓我們一起來消滅CSRF跨站請求偽造(上)

TAG:人機交互 | 安全漏洞 | 觸摸屏 |