Uma nova técnica de tapjacking pode explorar animações na interface do usuário para contornar o sistema de permissões do Android e permitir o acesso a dados sensíveis ou enganar usuários para realizar ações destrutivas, como a formatação do dispositivo.
Diferente do tradicional tapjacking baseado em sobreposição, os ataques TapTrap funcionam até mesmo com aplicativos que não necessitam de permissões para lançar uma atividade transparente e inofensiva sobre uma maliciosa, um comportamento que permanece não mitigado no Android 15 e 16.
O TapTrap foi desenvolvido por uma equipe de pesquisadores de segurança da TU Wien e da Universidade de Bayreuth (Philipp Beer, Marco Squarcina, Sebastian Roth, Martina Lindorfer) e será apresentado no próximo mês no USENIX Security Symposium.
Contudo, a equipe já publicou um paper técnico que delineia o ataque e um website que resume a maior parte dos detalhes.
O TapTrap abusa da forma como o Android lida com transições de atividade com animações customizadas para criar uma discrepância visual entre o que o usuário vê e o que o dispositivo realmente registra.
Um aplicativo malicioso instalado no dispositivo-alvo lança uma tela de sistema sensível (solicitação de permissão, configuração do sistema, etc.) de outro aplicativo usando ‘startActivity()’ com uma animação de baixa opacidade personalizada.
“A chave para o TapTrap é usar uma animação que torna a atividade alvo quase invisível,” dizem os pesquisadores em um website que explica o ataque.
“Isto pode ser alcançado definindo uma animação customizada com a opacidade inicial e final (alpha) estabelecida para um valor baixo, como 0.01,” tornando assim a atividade maliciosa ou arriscada quase completamente transparente.
Opcionalmente, uma animação de escala pode ser aplicada para dar zoom em um elemento específico da UI (por exemplo, um botão de permissão), fazendo com que ele ocupe a tela inteira e aumentando a chance de o usuário tocá-lo.
Embora a solicitação lançada receba todos os eventos de toque, tudo o que o usuário vê é o aplicativo subjacente que exibe seus próprios elementos da UI, já que no topo dele está a tela transparente com a qual o usuário realmente interage.
Pensando que interagem com o aplicativo benigno, um usuário pode tocar em posições específicas da tela que correspondem a ações arriscadas, como os botões “Permitir” ou "Autorizar" em solicitações quase invisíveis.
Um vídeo divulgado pelos pesquisadores demonstra como um aplicativo de jogo poderia aproveitar o TapTrap para habilitar o acesso à câmera para um site através do navegador Chrome.
Para verificar se o TapTrap poderia funcionar com aplicativos na Play Store, o repositório oficial do Android, os pesquisadores analisaram perto de 100.000.
Eles descobriram que 76% deles são vulneráveis ao TapTrap, pois incluem uma tela ("atividade") que atende às seguintes condições:
- pode ser lançada por outro aplicativo
- executa na mesma tarefa que o aplicativo chamador
- não substitui a animação de transição
- não espera a animação terminar antes de reagir à entrada do usuário
Os pesquisadores dizem que as animações estão habilitadas na versão mais recente do Android, a menos que o usuário as desabilite nas opções de desenvolvedor ou nas configurações de acessibilidade, expondo os dispositivos aos ataques TapTrap.
Enquanto desenvolviam o ataque, os pesquisadores usaram o Android 15, a versão mais recente na época, mas depois que o Android 16 foi lançado, eles também realizaram alguns testes nele.
Marco Squarcina disse ao BleepingComputer que eles tentaram o TapTrap em um Google Pixel 8a rodando o Android 16 e podem confirmar que o problema permanece não mitigado.
O GrapheneOS, o sistema operacional móvel focado em privacidade e segurança, também confirmou ao BleepingComputer que o Android 16 mais recente é vulnerável à técnica TapTrap, e anunciou que a próxima versão incluirá uma correção.
O site BleepingComputer contatou o Google sobre o TapTrap, e um porta-voz disse que o problema do TapTrap será mitigado em uma atualização futura:
"O Android está constantemente melhorando suas mitigação existentes contra ataques de tapjacking.
Estamos cientes desta pesquisa e estaremos abordando esse problema em uma atualização futura.
O Google Play tem políticas em vigor para manter os usuários seguros que todos os desenvolvedores devem seguir, e se encontrarmos que um aplicativo violou nossas políticas, tomamos ações apropriadas." - disse um representante do Google.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...