Sarkanais trauksmes līmenis! Tas ir tas, kā Taptrap uzbrukums apdraud tās Android lietotnes!

Sarkanais trauksmes līmenis! Tas ir tas, kā Taptrap uzbrukums apdraud tās Android lietotnes!

Seattle, USA - Satraucošā attīstībā Vīnes Tehnoloģiju universitātes drošības pētnieki ir atklājuši jaunu uzbrukuma metodi ar nosaukumu "Taptrap", kas potenciāli apdraud lielu skaitu Android lietotņu. Šī tehnoloģija nesen tika prezentēta USENIX drošības konferencē Sietlā, un tā ietekmē vairāk nekā 76% no aptuveni 100 000 pārbaudītajām lietojumprogrammām Google Play veikalā. Uzbrukums ļauj ļaundabīgām lietotnēm apiet Android autorizācijas sistēmu un piekļūt sensitīviem datiem vai veikt kaitīgas darbības bez lietotāju zināšanām. Filips alus no Vīnes Tehnoloģiju universitātes paskaidro, ka sistēmas iebūvētās animācijas pārejas tiek īpaši izmantotas, lai izveidotu maldinoši reālu lietotāja saskarni.

Uzbrukums tiek veikts bez īpašām atļaujām, kas nozīmē, ka kaitīgās lietotnes, lejupielādējot, šķiet nekaitīgas. Pārbaudes laikā tika pierādīts, ka uzbrucēji ir iespējams piekļūt tādām kritiskām atļaujām kā kamera vai mikrofons īsā laika posmā no 3 līdz 6 sekundēm. Lietotāju pētījumā vairums dalībnieku neredzēja uzbrukumus; Tikai 21% pamanīja drošības rādītājus, kad kamerai piekļūst.

uzbrukuma vektori un riski

Pētnieki identificēja vairākus bīstamus uzbrukuma scenārijus, tostarp:

• Konsultāciju apvedceļš: piekļuve kamerai, mikrofonam un atrašanās vietai bez piekrišanas.
• Paziņojuma mijiedarbība: Piekļuve svarīgiem paziņojumiem, piemēram, divu faktoru autentifikācijas kodiem.
• Ierīces dzēšana: pilnīga ierīces dzēšana, manipulējot ar lietotāju.
• Tīmekļa vāji plankumi: uzbrukumu klikšķi pret plašiem pārlūkprogrammām, piemēram, Chrome un Firefox.

Iespējas ir sarežģītas, un pētījumu grupa brīdināja, ka teorētiski pat kaitīgas darbības, piemēram, banku lietotņu sākšana vai visu datu dzēšana varētu veikt vienā ierīcē.

Aizsardzības pasākumi un statuss

Drošības ziņā pārlūkprogrammas, piemēram, Firefox un Google Chrome, jau ir veikuši pasākumus, lai novērstu šo plaisu. Tomēr Google nav nodrošinājis fiksētu datumu visaptverošiem sistēmas mēroga drošības atjauninājumiem, lai samazinātu risku lietotājiem Android 15. versijā. Turklāt vājais punkts tika apzīmēts ar diviem CVE (CVE-2025-3067 par Chrome un CVE-2025-1939 par Firefox) un Google deva pētniekiem atlīdzību par USD 10 000 par viņu atklāšanu.

Google ir uzsvēris atjauninātajā Android drošības papīrs 2023 Cik svarīgi spēcīgi drošības pasākumi, kas saistīti ar mobilajām ierīcēm. Miljards.

Facebook lietotājiem jāpaliek modriem un jāizvairās no ieskaujošiem avotiem. Turklāt lietotājiem vajadzētu deaktivizēt lietotņu animācijas iestatījumos sadaļā “Darbības AIDS”, lai iegūtu noteiktu aizsardzību. Tomēr saskaņā ar testa rezultātiem joprojām ir jāredz, cik ātri Google un citi pakalpojumu sniedzēji reaģēs uz šo apšaubāmo drošības situāciju.