Rødt alarmnivå! Slik utsetter Taptrap -angrepet sine Android -apper!

Rødt alarmnivå! Slik utsetter Taptrap -angrepet sine Android -apper!

Seattle, USA - I en alarmerende utvikling har sikkerhetsforskere fra Wien teknologiske universitetsanlegg oppdaget en ny angrepsmetode kalt "Taptrap", som potensielt truet et stort antall Android -apper. Denne teknologien ble nylig presentert på Usenix Security Conference i Seattle og påvirker over 76% av de omtrent 100 000 undersøkte applikasjonene i Google Play Store. Angrepet gjør at ondartede apper kan omgå Android -autorisasjonssystemet og få tilgang til sensitive data eller for å utføre skadelige handlinger uten å kunnskap fra brukerne. Philipp -øl fra Wien -teknologiske universitetet forklarer at de bygde animasjonsovergangene til systemet blir spesielt utnyttet for å lage et villedende ekte brukergrensesnitt.

Angrepet gjøres uten spesielle tillatelser, noe som betyr at de skadelige appene virker ufarlige når du laster ned. I tester ble det påvist at angripere er mulig for å få tilgang til kritiske tillatelser som kameraet eller mikrofonen innen kort tidsvindu på 3 til 6 sekunder. I en brukerstudie kunne de fleste deltakere ikke se angrepene; Bare 21% la merke til sikkerhetsindikatorer da kameraet ble åpnet.

Angrepsvektorer og risikoer

Forskerne identifiserte flere farlige angrepsscenarier, inkludert:

• Konsultasjon Bypass: Tilgang til kameraet, mikrofonen og plasseringen uten samtykke.
• Varslingsinteraksjon: Tilgang til viktige varsler, for eksempel to-faktor autentiseringskoder.
• Enhetsoppretting: Fullstendig sletting av enheten ved å manipulere brukeren.
• Web Svake flekker: Clickjacking -angrep mot utbredte nettlesere som Chrome og Firefox.

Mulighetene er sammensatte og forskerteamet advarte om at teoretisk til og med skadelige handlinger som å starte bankapper eller slette alle data kan utføres på en enhet.

Beskyttende tiltak og status

Når det gjelder sikkerhet, har nettlesere som Firefox og Google Chrome allerede iverksatt tiltak for å lukke dette gapet. Google har imidlertid ikke gitt en fast dato for omfattende systemomfattende sikkerhetsoppdateringer for å minimere risikoen for brukere på Android versjon 15. I tillegg ble det svake punktet merket med to CVES (CVE-2025-3067 for Chrome og CVE-2025-1939 for Firefox) og Google ga forskerne en belønning på USD 10.000 for deres Discovery.

Google har lagt vekt på i det oppdaterte Android Security Paper 2023 Hvor viktige sikkerhetstiltak er i å håndtere mobile enheter. 10 milliarder dollar

Facebook -brukere må være årvåken og unngå innsiktsfulle kilder. I tillegg bør brukere deaktivere app -animasjonene i innstillingene under "Operasjonshjelpemidler" for å få viss beskyttelse. I følge testresultatene gjenstår det imidlertid å se hvor raskt Google og andre leverandører vil reagere på denne tvilsomme sikkerhetssituasjonen.