В Android 15 и 16 обнаружен серьёзный уязвимый механизм под названием TapTrap, позволяющий приложениям тайно нажимать кнопки от имени пользователя.
Технику описали исследователи из TU Wien и Университета Байройта — они продемонстрировали, как невидимые анимации можно использовать для обхода системы разрешений Android.
TapTrap отличается от классических атак с наложением интерфейса: злоумышленники запускают почти полностью прозрачную активность поверх доверенного приложения.
Пользователь видит привычный интерфейс, но в реальности взаимодействует с опасным экраном, например с системным запросом доступа к камере. Анимации с низкой прозрачностью и масштабированием «перехватывают» касания, направляя их на скрытые кнопки «Разрешить» и подобные.
Проверка почти 100 000 приложений из Google Play показала, что 76% из них потенциально уязвимы — они используют активности, подходящие для запуска через TapTrap. Google признала проблему и пообещала устранить её в будущих обновлениях Android.
Источник: www.ferra.ru