СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
9 июля
#Dev#ИБ

Исследователи представили TapTrap — новую атаку на Android через невидимый интерфейс

Исследователи представили TapTrap — новую атаку на Android через невидимый интерфейс

Изображение: Josh Rose (unsplash)

Учёные из Технического университета Вены и Университета Байройта представили новый вектор атаки на Android, получивший название TapTrap. Эта техника тапджекинга использует анимации пользовательского интерфейса, чтобы обмануть пользователя и обойти систему разрешений, при этом не требуя ни одного разрешения на установку.

Главное отличие TapTrap от классических атак с наложением заключается в том, что она действует даже на Android 15 и 16. Вместо наложения поверх интерфейса создаётся практически прозрачный системный экран с критически важными элементами (например, запросом на разрешение). Пользователь, видя лишь «безопасное» приложение, взаимодействует на самом деле с невидимым системным интерфейсом.

Как работает TapTrap:

  • Злоумышленник внедряет в приложение кастомную анимацию, при которой прозрачность (альфа-канал) системного окна задаётся на уровне 0.01, делая его почти невидимым;
  • Элемент интерфейса, например, кнопка «Разрешить», масштабируется и занимает весь экран, увеличивая шанс случайного нажатия;
  • Пользователь думает, что взаимодействует с безопасным приложением, но фактически запускает действия на фоне — например, даёт доступ к микрофону, передаёт данные или даже подтверждает удаление устройства.

Исследование уже представлено в техническом отчёте и будет официально продемонстрировано на конференции USENIX Security Symposium в августе. Разработчики TapTrap подчёркивают, что атака работает даже с нулевыми разрешениями и не нарушает действующие ограничения Android.

Эксперты предупреждают, что TapTrap представляет серьёзную угрозу, так как её трудно обнаружить визуально и практически невозможно отследить без анализа поведения приложения на уровне системных вызовов. В текущих версиях Android (включая Android 16) нет механизмов, блокирующих данный тип анимации.

Исследователи уже сообщили о проблеме в Google и рекомендуют:

  • Ввести запрет на кастомные анимации с полной или почти полной прозрачностью;
  • Ограничить возможность запускать системные действия из сторонних приложений без уведомлений;
  • Ужесточить правила отображения чувствительных интерфейсов, включая запросы разрешений.

TapTrap демонстрирует, как можно использовать визуальные манипуляции для обхода механизмов безопасности, сохранив при этом видимость легитимного поведения приложения.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: