Červená úroveň alarmu! Takto útok tapTrap ohrožuje své aplikace pro Android!

Červená úroveň alarmu! Takto útok tapTrap ohrožuje své aplikace pro Android!

Seattle, USA - V alarmujícím vývoji objevili vědci v oblasti bezpečnosti z Vídeňské univerzity technologie novou metodu útoku s názvem „TapTrap“, která potenciálně ohrozila velké množství aplikací pro Android. Tato technologie byla nedávno představena na konferenci Usenix Security Conference v Seattlu a ovlivňuje více než 76% z přibližně 100 000 zkoumaných aplikací v obchodě Google Play. Útok umožňuje maligním aplikacím obejít systém autorizace Android a získat přístup k citlivým datům nebo provádět škodlivé akce bez znalosti uživatelů. Pivo Philipp z Vienna University of Technology vysvětluje, že vybudované přechody systému v systému jsou zvláště využívány k vytvoření klamně skutečného uživatelského rozhraní.

Útok se provádí bez zvláštních oprávnění, což znamená, že škodlivé aplikace se při stahování zdají neškodné. Při testech bylo prokázáno, že útočníci jsou možní přistupovat k kritickým oprávnění, jako je kamera nebo mikrofon v krátkém časovém okně 3 až 6 sekund. Ve studii uživatelů většina účastníků neviděla útoky; Pouze 21% si všimlo bezpečnostních ukazatelů, když byla kamera přístupná.

útočící vektory a rizika

Vědci identifikovali několik scénářů nebezpečných útoků, včetně:

• Konzultace bypass: přístup k kameře, mikrofonu a umístění bez souhlasu.
• Interakce oznámení: Přístup k důležitým oznámení, jako jsou dvoufaktorové autentizační kódy.
• Vymazání zařízení: Kompletní odstranění zařízení manipulací s uživatelem.
• Webová slabá místa: Klickjakingové útoky proti rozšířeným prohlížečům, jako jsou Chrome a Firefox.

Možnosti jsou složité a výzkumný tým varoval, že teoreticky dokonce škodlivé akce, jako je zahájení bankovních aplikací nebo odstranění všech dat, by mohly být provedeny na jednom zařízení.

Ochranná opatření a stav

Pokud jde o zabezpečení, prohlížeče jako Firefox a Google Chrome již přijaly opatření k uzavření této mezery. Google však neposkytl pevné datum komplexních aktualizací zabezpečení v celém systému, aby se minimalizovalo riziko pro uživatele ve verzi Android verze 15. Kromě toho byl slabý bod označen dvěma CVE (CVE-2025-3067 pro Chrome a CVE-2025-1939 pro Firefox) a Google vědci odměnili za 10 000 za jejich objev.

Google zdůraznil v aktualizovaném Android Security Paper 2023 Jak důležitá silná bezpečnostní opatření jsou při řešení mobilních zařízení. 10 miliard dolarů

Uživatelé Facebooku musí zůstat ostražití a vyhnout se bystrým zdrojům. Kromě toho by uživatelé měli deaktivovat animace aplikace v nastavení v části „Provozní pomůcky“, aby získali určitou ochranu. Podle výsledků testů však zbývá vidět, jak rychle budou Google a další poskytovatelé reagovat na tuto spornou bezpečnostní situaci.