Flutter InAppWebView 中的 Tapjacking 安全风险分析与防护方案

什么是 Tapjacking 攻击

Tapjacking（点击劫持）是一种 Android 平台上的 UI 覆盖攻击技术。攻击者通过创建一个透明的覆盖层，覆盖在目标应用界面上方，诱导用户在不知情的情况下点击底层应用的敏感区域。这种攻击方式利用了 Android 系统的窗口叠加特性，在用户看来是在操作正常界面，实际上却触发了底层应用的敏感操作。

Flutter InAppWebView 的安全隐患

在 Flutter 应用中使用 InAppWebView 插件时，如果未采取适当防护措施，WebView 内容可能会面临 Tapjacking 风险。特别是在 Android 11 及以下版本中，攻击者可以：

1. 创建一个全屏透明的 Activity
2. 覆盖在 InAppWebView 上方
3. 捕获用户点击事件并转发到底层 WebView
4. 诱导用户执行非预期的操作（如授权、转账等）

技术原理分析

Android 系统默认允许窗口叠加，这是 Tapjacking 能够实现的基础。关键问题在于：

1. 视图层级：Android 采用 Z-order 管理窗口层级，后启动的 Activity 默认显示在前
2. 事件传递：触摸事件会传递给最顶层的视图，除非设置了过滤
3. 透明度控制：攻击者可以通过设置窗口透明度实现"隐形"覆盖

防护解决方案

1. 基础防护方案

在 Flutter 主 Activity 中添加防护代码（MainActivity.kt）：

override fun onCreate(savedInstanceState: Bundle?) {
    super.onCreate(savedInstanceState)
    val rootView = findViewById<View>(android.R.id.content).rootView
    rootView.filterTouchesWhenObscured = true
}

此方案通过设置 filterTouchesWhenObscured 属性，使视图在被遮挡时忽略触摸事件。

2. InAppWebView 专用防护

由于 InAppWebView 运行在独立 Activity 中，需要在插件层面实现防护。开发者应期待插件作者在以下方面进行增强：

1. 默认启用触摸事件过滤
2. 提供配置选项控制防护级别
3. 处理 WebView 内部框架的安全策略

3. 深度防御策略

除技术防护外，建议采取以下措施：

1. 敏感操作二次确认：对关键操作添加确认步骤
2. 行为分析：监测异常操作模式
3. 权限最小化：限制 WebView 的敏感权限
4. 定期更新：保持插件版本最新

测试验证方法

开发者可以通过以下方式验证防护效果：

1. 创建测试应用模拟攻击行为
2. 观察 WebView 在被覆盖时是否响应操作
3. 使用 Android 开发者工具检查视图层级
4. 在不同 Android 版本上进行兼容性测试

总结

Tapjacking 是 Android WebView 组件面临的典型安全威胁。Flutter 开发者在使用 InAppWebView 时应特别注意此风险，既要实施基础防护，也要关注插件本身的安全更新。随着 Android 系统安全机制的不断完善，这类攻击的防护将更加体系化，但开发者仍需保持警惕，采取主动防御措施保护应用安全。