Rødt alarmniveau! Sådan bringer taptrap -angrebet sine Android -apps!

Rødt alarmniveau! Sådan bringer taptrap -angrebet sine Android -apps!

Seattle, USA - I en alarmerende udvikling har sikkerhedsforskere fra Wien University of Technology opdaget en ny angrebsmetode kaldet "TAPTRAP", som potentielt truede et stort antal Android -apps. Denne teknologi blev for nylig præsenteret på Usenix Security Conference i Seattle og påvirker over 76% af de cirka 100.000 undersøgte applikationer i Google Play Store. Angrebet giver ondartede apps mulighed for at omgå Android -autorisationssystemet og få adgang til følsomme data eller udføre skadelige handlinger uden brugerens viden. Philipp Beer fra Wien University of Technology forklarer, at de byggede animationsovergange af systemet især udnyttes til at skabe en vildledende reel brugergrænseflade.

Angrebet udføres uden særlige tilladelser, hvilket betyder, at de skadelige apps forekommer ufarlige, når de downloades. I test blev det demonstreret, at angribere er mulige at få adgang til kritiske tilladelser såsom kameraet eller mikrofonen inden for et kort tidsvindue på 3 til 6 sekunder. I en brugerundersøgelse kunne de fleste deltagere ikke se angrebene; Kun 21% bemærkede sikkerhedsindikatorer, da kameraet fik adgang.

angrebsvektorer og risici

Forskerne identificerede flere farlige angrebsscenarier, herunder:

• Consultation Bypass: Adgang til kameraet, mikrofonen og placeringen uden samtykke.
• Meddelelsesinteraktion: Adgang til vigtige meddelelser, såsom to-faktor-godkendelseskoder.
• Enhedssletning: Komplet sletning af enheden ved at manipulere brugeren.
• Web svage pletter: Clickjacking -angreb mod udbredte browsere som Chrome og Firefox.

Mulighederne er komplekse, og forskerteamet advarede om, at teoretisk endda skadelige handlinger, såsom at starte bankapps eller slette alle data, kunne udføres på en enhed.

beskyttelsesforanstaltninger og status

Med hensyn til sikkerhed har browsere som Firefox og Google Chrome allerede truffet foranstaltninger for at lukke dette hul. Google har imidlertid ikke leveret en fast dato for omfattende systemdækkende sikkerhedsopdateringer for at minimere risikoen for brugere på Android version 15. Derudover var det svage punkt markeret med to CVE'er (CVE-2025-3067 for Chrome og CVE-2025-1939 for Firefox) og Google gav forskerne en belønning på 10.000 USD for deres Discovery.

Facebook -brugere skal forblive årvågen og undgå indsigtsfulde kilder. Derudover skal brugerne deaktivere APP -animationerne i indstillingerne under "driftshjælpemidler" for at få en vis beskyttelse. I henhold til testresultaterne er det imidlertid tilbage at se, hvor hurtigt Google og andre udbydere vil reagere på denne tvivlsomme sikkerhedssituation.