Новый метод атаки на Android, который пытается пользователей с невидимыми интерфейсами. Что на самом деле, taptrap

Новый метод атаки на Android, который пытается пользователей с невидимыми интерфейсами. Что на самом деле, taptrap

Иван Бремин04 минуты
Новый метод атаки на Android, который пытается пользователей с невидимыми интерфейсами. Что на самом деле, taptrap

Критическая уязвимость, обнаруженная в Android 15 и 16, позволяет вредоносным приложениям обходить системы разрешений, подвергая данные пользователей на основные риски.

Команда исследователей кибербезопасности из Университета Ту Вена и Байроута выявила новый метод атаки на устройства Android под названием Taptrap, пишет Bleeping Computer.

Инновационная техника использует анимированные переходы графического интерфейса, чтобы обмануть пользователей, чтобы нажимать, не зная, на невидимых кнопках, которые могут предоставить доступ к конфиденциальной информации или даже инициировать опасные действия, такие как сброс телефона.

В отличие от традиционных методов tap -jacking, которые включают перекрывающиеся видимые интерфейсы, Taptrap работает, не требуя специальных разрешений и основано на запуске прозрачной деятельности по сравнению с кажущимся безобидным применением, которое пользователь видит.

Он был протестирован и подтвержден как функциональный как на Android 15, так и на Android 16, в том числе на устройстве Google Pixel 8A.

Как работает Taptrap и почему это опасно

Механизм, лежащий в основе Taptrap, использует преимущества персонализированных анимаций, которые контролируют переходы между экранами (действиями) в Android.

В частности, злоумышленник может создать приложение, которое запускает системную деятельность (такую как критическое разрешение или настройка), используя команду startActivity (), но с анимацией, которая имеет чрезвычайно низкий уровень непрозрачности, практически, экран становится почти невидимым.

Исследователи объясняют, что, установив уровень прозрачности (альфа) на такие значения, как 0,01, и применяя анимацию увеличения (Zoom) на кнопке, такой как Разрешает или разрешаетсявероятность того, что пользователь точно нажат на этот элемент, значительно увеличится.

Хотя пользователь видит только безвредное приложение в фоновом режиме, фактически он взаимодействует со скрытой деятельностью, которая отражает все тактильные команды.

Демонстративное видео показывает, как, казалось бы, доброжелательное приложение, как игра, может активировать доступ к камере для веб -страницы через браузер Chrome, без осознания пользователя.

Уязвимые устройства, но также и то, как Google отреагировал

Чтобы оценить, насколько обширная уязвимость, исследователи проанализировали около 100 000 приложений в Google Play Store.

Результаты вызывают беспокойство: около 76% из них имеют по крайней мере одно действие, которое соответствует условиям, необходимым для использования TAP.

В частности, эти приложения:

  • разрешить запуск действий другими приложениями;
  • запускается в той же задаче с приложением, которое их вызывает;
  • не меняет неявную переходную анимацию;
  • и принимает взаимодействия от пользователя непосредственно перед завершением анимации.

В настоящее время эта уязвимость не исправлена ни в Android 15, ни в Android 16. Операционная система Grapheneos, известная своей ориентацией безопасности, подтвердила существование проблемы и объявила, что следующее обновление будет включать решение.

Google был проинформирован об этой технике, и представитель компании сказал, что решение будет реализовано в будущем обновлении:

«Android постоянно улучшает меры защиты от атак Tap -Jacking. Мы знаем об этом исследовании, и мы рассмотрим эту проблему в будущем обновлении. Google Play требует строгих правил для пользователей, и приложения, которые их нарушают, должным образом санкционированы».

До появления официального патча пользователи могут снизить риск, деактивируя анимации в настройках разработчиков или параметры доступности.

Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

Похожие новости