/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F21323d1f418db614794b2b342c00c85c.jpg)
Новий метод TapTrap дозволяє зламати Android без дозволів
Фахівці з кібербезпеки повідомили про новий спосіб злому Android, який дозволяє зловмисникам обходити автентифікацію та отримувати доступ до конфіденційної інформації. Новий метод, що отримав назву TapTrap, базується на використанні нестандартних анімацій інтерфейсу – через це те, що бачить користувач, не відповідає реальним діям на екрані.
На відміну від класичних атак типу tapjacking, TapTrap спрацьовує навіть із застосунками, які не потребують жодних додаткових дозволів. Шкідливий софт може відкривати прозорі системні вікна, що виглядають як звичайні елементи інтерфейсу. В результаті користувач упевнений, що натискає безпечні кнопки, тоді як насправді може, наприклад, надати доступ до камери або ініціювати скидання телефону до заводських налаштувань.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F4a9c88d659738335ca55229837e77604.jpg)
Головна ідея атаки – маніпуляція системними анімаціями Android. Зловмисники можуть запускати важливі запити чи налаштування із практично нульовою прозорістю. Як пояснили дослідники, суть TapTrap у тому, що потрібне вікно залишається невидимим завдяки налаштуванню прозорості майже на нульовому рівні (0,01). Окрім того, шахраї можуть збільшувати інтерфейсні елементи – наприклад, розтягнути кнопку підтвердження на весь екран, підвищуючи шанси на помилковий клік.
Новий тип атаки продемонстрували експерти з Віденського технічного університету та Університету Байройта – Філіп Бір (Philipp Beer), Марко Скуарчина (Marco Squarcina) та їхні колеги. Технічні деталі вони вже оприлюднили й планують представити результати на симпозіумі USENIX з безпеки наступного місяця.
За словами дослідників, перевірка близько 100 000 додатків у Google Play показала, що близько 76% із них уразливі до TapTrap. Проблема не зникла навіть у Android 16: Скуарчина протестував атаку на Google Pixel 8a і підтвердив її працездатність. Розробники GrapheneOS, операційної системи з акцентом на безпеку, теж підтвердили наявність вразливості та пообіцяли виправити її найближчим часом.
У Google у коментарі для Bleeping Computer повідомили, що вже працюють над виправленням і готують патч для усунення проблеми, однак точна дата його виходу поки що невідома.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F09f7e937-ebb5-4267-be2e-b3bf04365b41.jpeg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F790aa244ea9e90a29bcd4b8c7ad4a4de.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F8%2Fae3e810a54711342516db582408311ff.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F9%2Ff721bc303f1614d1033008ebbc9f330c.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F45%2F7d39bf90f544ce49cf8276c3d60dc50c.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F422%2Ff5921c59394426d0267a74704cfdf819.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F1%2F1487a3c9929b5193d2874ded039633c2)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F4d25ab30f10fd64c401f1a0671b1790f.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F86450a97c26281de3f36f34113caa0fe.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F7e39826becc33bc6389245b4ae75f9c3.jpg)