虽然很多Internet web站点已经使用frame busting来阻止clickjacking，但是很少的mobile
站点使用 frame busting。类似的，很少有 embedded web 站点如那些家庭路由器上的站点使
用frame busting。本文说明了framing攻击对于mobile站点和家庭路由器具有极大的攻击性。
本文设计了一种新的攻击叫做 tap-jacking，其通过使用 mobile浏览器的属性在手机上实现了
一种强大的 clickjacking 攻击。 手机上的Tap-jacking比传统桌面浏览器上的 clickjacking 更有
效。对于家庭路由器，我们证明了 framing 攻击能够偷取 wifi WPA密钥并且准确的定位 wifi
网络。最后，我们展示了基于层叠的 frame busting 如 Facebook 所使用的，可能泄漏用户的
隐私信息。
背景
Web framing 攻击发生于浏览器中，首先一个“恶意”网页将一个被攻击页面加载为
rame。一旦该页面被加载为浮动框架，framing page 就能够实施多种攻击。最常见的例子
就是 clickjacking，其中被攻陷页面被加载为一个透明框架并置于一个“无害”页面上面，
该“无害”页面用来诱使用户点击上面的按钮或链接。当用户点击时，该点击事件被送给透
明框架，从而导致一些无意的操作被执行（例如发送一个 tweet 或购买某个物品）。其他的

Framing 攻击包括 UI redressing，drag—anddrop 攻击和 scrolling攻击等。本文将在后面详细
讨论这些攻击。
防御framing攻击的常规方法是frame busting，其指用于防止web页面被加载为sub-frame
的代码。如下是一个简单的常用 frame busting 代码：
 
 
 
if (top.location != location)
       top.location = self.location;
一份针对流行网站对于clickjacking防御的报告指出仅有14%的Alexa Top-500站点使用
了 frame busting。该报告同时还指出目前的方法能够很容易的躲过，同时其还提出了一些更
好的 framing busting 方法。

本文研究了 mobile 站点和家庭网络设备上的 framing 攻击。本文提出的攻击方法证明了
smartphones和路由设备十分容易遭受 framing 攻击，比正常的浏览器和流行站点更严重。虽

然 mobile和embedded 站点有十分严重的漏洞，其并没有采取良好的措施来实施保护。我们
的研究表明有些framing防御方法如被Facebook所采用的虽然能够防止一般的clickjacking，
但是却可能泄漏用户的隐私信息。
Mobile web站点上的 framing 攻击：我们发现 53%的 Alexa Top500 站点都有移动版本的
站点。这些站点的域名大多为.mobi 或者 m.*, mobile.*, wap.*等子域名。另外，大部分 mobile
站点都实现了其原始站点所提供的很多主要功能。
虽然 14%的 top 500  站点对于主站做了一些 frame busting，却几乎没有对 mobile 站点做
任何相关防护（我们仅发现了两个站点同时为主站和 mobile 站点做了 frame bust）。因此，
几乎所有的 mobile 站点都容易遭受 framing 攻击。在下一节，我们将介绍 tap-jacking，一种
针对 mobile web 站点的 framing 攻击。该方法比其用于桌面系统的兄弟 clickjacking 更加有
效。这些攻击说明了除非这些 mobile 站点开始采用 frame busting，否则将很容易被攻陷。
最基本的情况，tap-jacking 需要一个支持 javascrypt 和 frame 的 mobile 浏览器。我们可
以使用 mobile 浏览器的其他特性来增强攻击的有效性。iPhone 和 Android 浏览器都有
tap-jacking 所有需要的特性。另外，Opera mini 浏览器似乎对 tap-jacking 免疫，虽然其也完
全支持 Javascript 和 frame。我们将在下一节详细讨论。
很奇怪的是，为什么这些站点在其主站上使用了 frame bust而在 mobile站点上却不用。
当我们于这些站点的开发者讨论时，我们主要会听到如下两种言论：

1.  老的 mobile 浏览器不支持 frame busting 所需要的 Javascript。如果使用了 frame busting
代码，那么在老的手机上将无法正常使用 mobile 站点。然后这种担心可以通过选择性的提
供服务来解决。也就是当 iPhone 或 Android 访问站点时就使用 frame busting 而在其他情况
下不实用。 
2.  Clickjacking在手机上不是个问题。 
另外，我们还发现大部分 mobile 站点都不检查用户是否是手机，甚至直接为桌面浏览器
提供服务。同时，大部分站点都不区分住站点和 mobile 站点的会话（即当用户登录到住站
点时同时也登录到了 mobile 站点，反之亦然）。因此，如果主站点采用了 frame busting 而