Android TapTrap-angreb: Ny usynlig UI-trick truer brugerens sikkerhed

En gruppe sikkerhedsforskere har opdaget en ny Android-angrebsteknik kaldet Android TapTrap-angrebet, som kan narre brugere til at give følsomme tilladelser eller udføre skadelige handlinger uden deres viden. I modsætning til traditionelle tapjacking-metoder udnytter Android TapTrap den måde, Android håndterer aktivitetsanimationer på, og gør farlige systemskærme næsten usynlige.

Forskerne fra TU Wien og University of Bayreuth vil præsentere deres resultater på den kommende USENIX Security Symposium. Deres offentliggjorte artikel og dedikerede hjemmeside forklarer de tekniske detaljer og de virkelige konsekvenser af dette nye angreb.

Sådan virker Android TapTrap-angrebet

Android TapTrap manipulerer Android’s startActivity()-funktion og bruger brugerdefinerede animationer til at skabe en visuel uoverensstemmelse. Sådan udfolder angrebet sig:

• En ondsindet app åbner en følsom systemskærm (som en tilladelsesforespørgsel) med en gennemsigtig eller næsten gennemsigtig animation.
• Den egentlige skærm, der modtager brugerens tryk, er praktisk talt usynlig.
• Brugeren ser den uskadelige app, men trykker ubevidst på den skjulte følsomme prompt.
• Angriberne definerer animationer med ekstremt lav opacitet (f.eks. 0,01 alfa-værdi) og kan bruge skaleringseffekter til at forstørre kritiske knapper som “Tillad” eller “Godkend,” hvilket øger sandsynligheden for brugerinteraktion.

Et demonstrationsvideo frigivet af forskerne viser, hvordan et tilsyneladende uskyldigt spil kan aktivere kameratilgang ved at narre brugeren til at trykke på en usynlig prompt.

Hvorfor Android TapTrap-angrebet er effektivt

TapTrap-angrebet kræver ingen særlige tilladelser, hvilket betyder, at selv apps uden tilladelser kan udføre angrebet. Forskerne testede TapTrap på:

• Android 15 (nuværende stabile version)
• Android 16 (nyeste version)

Begge versioner er sårbare. GrapheneOS, en sikkerheds-fokuseret Android-fork, har bekræftet sårbarheden og annonceret en løsning i en kommende opdatering.

Vigtige faktorer, der gør Android TapTrap-angrebet effektivt:

• De fleste Android-apps indeholder aktiviteter, der opfylder betingelserne for angrebet.
• Animationer er som standard aktiveret på Android-enheder.
• Brugere deaktiverer normalt ikke animationer i udvikler- eller tilgængelighedsindstillinger.

Hvor udbredt er risikoen for Android TapTrap-angrebet?

Forskerholdet analyserede næsten 100.000 Play Store-apps og fandt, at 76 % potentielt er sårbare. Disse apps:

• Tillader eksterne apps at starte følsomme aktiviteter.
• Overskriver ikke standardanimationsovergange.
• Forsinker ikke brugerinteraktion, indtil animationer er afsluttet.

Det betyder, at brugere af tusindvis af legitime Android-apps kan blive narret til at give tilladelser eller udføre farlige handlinger uden at være klar over det.

Branche-reaktion på Android TapTrap-angrebet

Google svarede på fundene med:

“Android forbedrer konstant sine eksisterende modforanstaltninger mod tapjacking-angreb. Vi er opmærksomme på denne forskning og vil adressere problemet i en kommende opdatering.”

Derudover har Google Play politikker for at opdage og handle mod ondsindede apps, der udnytter sådanne sårbarheder.

Samtidig har GrapheneOS annonceret, at deres næste softwareopdatering vil indeholde beskyttelse mod TapTrap-angrebet.

Sådan kan brugere beskytte sig mod Android TapTrap-angrebet

Indtil officielle modforanstaltninger implementeres, kan brugere reducere risikoen ved at:

• Deaktivere animationer via udviklerindstillinger eller tilgængelighedsindstillinger.
• Være forsigtige med at give tilladelser til ukendte apps.
• Holde enheder opdaterede med de nyeste Android-sikkerhedsopdateringer.
• Bruge sikkerhedsorienterede operativsystemer som GrapheneOS, når det er muligt.

Konklusion

Android TapTrap-angrebet understreger behovet for mere robuste beskyttelser i Android-økosystemet. Ved at udnytte noget så simpelt som UI-animationer kan angribere narre brugere til farlige handlinger uden synlige signaler.

Mens Google og sikkerhedsforskere arbejder på løsninger, må både app-udviklere og brugere forblive informerede og opmærksomme. Forebyggelse af disse avancerede angreb kræver en kombination af tekniske forsvar og øget bevidsthed.