O vulnerabilitate majoră a fost identificată în Android 15 și 16, permițând aplicațiilor periculoase să evite restricțiile de permisiuni și să acceseze date sensibile ale utilizatorilor.

O echipă de experți în securitate cibernetică de la TU Wien și Universitatea Bayreuth a descoperit o nouă tehnică de atac asupra dispozitivelor Android, denumită TapTrap.

Această tehnică abuzează de tranzițiile animate ale interfeței grafice pentru a induce în eroare utilizatorii, determinându-i să apese involuntar pe elemente ascunse care pot accesa informații confidențiale sau declanșa acțiuni periculoase, precum resetarea dispozitivului.

Spre deosebire de metodele tradiționale de tapjacking, TapTrap nu necesită permisiuni speciale și funcționează prin lansarea unei activități ascunse peste interfața vizibilă a aplicației.

Vulnerabilitatea a fost demonstrată pe Android 15, Android 16 și pe dispozitive Google Pixel 8a.

Cum funcționează TapTrap și de ce este periculoasă

TapTrap exploatează animațiile personalizate de tranziție între ecranele aplicațiilor Android.

Un atacator poate crea o aplicație care lansează o activitate de sistem, de exemplu, solicitarea de permisiuni, folosind o comandă specială, dar cu o animație cu opacitate redusă, făcând elementul vizibil aproape invizibil pentru utilizator.

Reducerea opacității (alpha) la valori mici și aplicarea unei animații de mărire (zoom) pe un buton precum „Permite” sau „Autorizează” crește semnificativ probabilitatea ca utilizatorul să apese accidental pe elementul ascuns.

În timp ce utilizatorul vede o aplicație aparent inofensivă, este de fapt interacționat cu o activitate ascunsă, care captează toate comenzile tactile.

Un videoclip demonstrativ ilustrează cum o aplicație aparent inocentă, ca un joc, poate accesa camera pentru o pagină web prin intermediul unui browser, fără ca utilizatorul să-și dea seama.

Vulnerabilitatea și răspunsul Google

Cercetătorii au analizat peste 100.000 de aplicații din Google Play Store, identificând o problemă gravă.

Aproximativ 76% dintre aplicații prezintă cel puțin o activitate potențial vulnerabilă la exploatarea TapTrap.

Acestea prezintă vulnerabilitatea dacă:

• permit lansarea activităților de către alte aplicații;
• rulează în același context cu aplicația care le invocă;
• nu modifică animațiile implicite de tranziție;
• acceptă interacțiuni tactile înainte de finalizarea animației.

Vulnerabilitatea nu a fost remediată în Android 15 și 16. Sistemul de operare GrapheneOS a confirmat problema și anunțat o soluție viitoare.

Google a fost informat despre această tehnică și a declarat că va implementa o soluție într-o actualizare viitoare, menționând angajamentul lor de a proteja utilizatorii și implementarea unor măsuri anti-tapjacking.

Până la lansarea actualizării, utilizatorii pot reduce riscul dezactivând animațiile din setările dezvoltatorului sau accesibilitate.