Мільйони Android-смартфонів у небезпеці: новий баг дозволяє додаткам таємно натискати кнопки за користувача

В операційних системах Android 15 і 16 виявлено небезпечну вразливість під назвою TapTrap, яка дозволяє додаткам таємно натискати кнопки від імені користувача. Цю техніку описали дослідники з TU Wien та Університету Байройта, які продемонстрували, як невидимі анімації можна використовувати для обходу системи дозволів Android.

TapTrap відрізняється від класичних атак з накладанням інтерфейсу: зловмисники запускають майже повністю прозору активність поверх довіреного додатка. Користувач бачить звичний інтерфейс, але насправді взаємодіє з небезпечним екраном, наприклад із системним запитом доступу до камери.

Анімації з низькою прозорістю та масштабуванням “перехоплюють” дотики, спрямовуючи їх на приховані кнопки “Дозволити” та подібні елементи керування. Таким чином зловмисники можуть отримати доступ до чутливих функцій пристрою без відома користувача.

Перевірка майже 100 000 додатків з Google Play показала, що 76% з них потенційно вразливі — вони використовують активності, придатні для запуску через TapTrap. Це означає, що більшість популярних додатків можуть бути використані для реалізації такої атаки.

Google визнала проблему та пообіцяла усунути її в майбутніх оновленнях Android. Компанія працює над удосконаленням системи безпеки, щоб запобігти подібним атакам у наступних версіях операційної системи.