Noua metodă de atac pe Android care păcălește utilizatorii cu interfețe invizibile. Ce este, de fapt, TapTrap

O vulnerabilitate critică descoperită în Android 15 și 16 permite aplicațiilor malițioase să ocolească sistemele de permisiuni, expunând datele utilizatorilor la riscuri majore.

O echipă de cercetători în securitate cibernetică din cadrul TU Wien și Universitatea Bayreuth a dezvăluit o nouă metodă de atac asupra dispozitivelor Android, denumită TapTrap, scrie Bleeping Computer.

Tehnica inovatoare folosește tranzițiile animate ale interfeței grafice pentru a păcăli utilizatorii să apese, fără să știe, pe butoane invizibile ce pot acorda acces la informații sensibile sau chiar iniția acțiuni periculoase precum resetarea telefonului.

Spre deosebire de metodele tradiționale de tip tapjacking care presupun suprapunerea unor interfețe vizibile, TapTrap funcționează fără a solicita permisiuni speciale și se bazează pe lansarea unei activități transparente peste aplicația aparent inofensivă pe care o vede utilizatorul.

Ea a fost testată și confirmată ca fiind funcțională atât pe Android 15, cât și pe Android 16, inclusiv pe un dispozitiv Google Pixel 8a.

Cum funcționează TapTrap și de ce este periculos

Mecanismul din spatele TapTrap profită de animațiile personalizate care controlează tranzițiile între ecrane (activități) în Android.

Concret, un atacator poate crea o aplicație care lansează o activitate de sistem (precum o solicitare de permisiuni sau o setare critică) folosind comanda startActivity(), dar cu o animație ce are un nivel de opacitate extrem de redus, practic, ecranul devine aproape invizibil.

Cercetătorii explică faptul că, prin setarea nivelului de transparență (alpha) la valori precum 0.01 și aplicarea unei animații de mărire (zoom) pe un buton precum Permite sau Autorizează, șansele ca utilizatorul să apese exact pe acel element cresc considerabil.

Deși utilizatorul vede doar aplicația inofensivă în fundal, în realitate, interacționează cu o activitate ascunsă care captează toate comenzile tactile.

Un videoclip demonstrativ arată cum o aplicație aparent benignă, precum un joc, poate activa accesul la cameră pentru o pagină web prin intermediul browserului Chrome, fără ca utilizatorul să-și dea seama.

Dispozitivele vulnerabile, dar și cum a reacționat Google

Pentru a evalua cât de extinsă este vulnerabilitatea, cercetătorii au analizat aproximativ 100.000 de aplicații din Google Play Store.

Rezultatele sunt îngrijorătoare: aproximativ 76% dintre ele au cel puțin o activitate care îndeplinește condițiile necesare pentru a fi exploatată prin TapTrap.

Mai exact, aceste aplicații:

permit lansarea de activități de către alte aplicații;
rulează în același task cu aplicația care le invocă;
nu modifică animațiile implicite de tranziție;
și acceptă interacțiuni din partea utilizatorului chiar înainte ca animația să se finalizeze.

În prezent, această vulnerabilitate nu este remediată nici în Android 15, nici în Android 16. Sistemul de operare GrapheneOS, cunoscut pentru orientarea sa către securitate, a confirmat existența problemei și a anunțat că următoarea actualizare va include o soluție.

Google a fost informat în legătură cu această tehnică, iar un reprezentant al companiei a declarat că o soluție va fi implementată într-o actualizare viitoare:

„Android îmbunătățește constant măsurile de protecție împotriva atacurilor de tip tapjacking. Suntem conștienți de această cercetare și vom aborda problema într-un update viitor. Google Play impune reguli stricte pentru protejarea utilizatorilor, iar aplicațiile care le încalcă sunt sancționate corespunzător.”

Până la apariția patch-ului oficial, utilizatorii pot reduce riscul dezactivând animațiile din setările pentru dezvoltatori sau din opțiunile de accesibilitate.