TapTrap: новая атака на Android с обходом системы разрешений
Главная » Новости

TapTrap: новая атака на Android с обходом системы разрешений

Екатерина Быстрова 09 Июля 2025 - 09:27
...
TapTrap: новая атака на Android с обходом системы разрешений

Исследователи из TU Wien и Университета Байройта придумали, как обойти систему разрешений Android — без рут-прав. Новый метод называется TapTrap и в отличие от классического tapjacking через наложения он использует прозрачные анимации, встроенные в саму систему Android.

Да-да, вы всё ещё можете думать, что нажимаете кнопку в любимом приложении, а на деле — даёте доступ к камере, геолокации или даже стираете данные на телефоне.

Как работает TapTrap

Суть атаки — в обмане пользователя с помощью прозрачных анимаций при запуске системных экранов. Вредоносное приложение запускает другую активность (например, системное окно с разрешением) с почти полностью прозрачной анимацией. А вы видите под ней обычный интерфейс — игру, чат, картинку… Но по факту нажимаете на невидимую кнопку «Разрешить».

Исследователи назвали (PDF) ключом к атаке анимацию, у которой и начальное, и конечное значение прозрачности (alpha) установлено, например, на 0.01. Иногда добавляется масштабирование, чтобы сделать нужную кнопку «весомее» — и увеличить шанс, что вы в неё попадёте.

 

Уязвимы 76% приложений

Команда изучила почти 100 тысяч приложений из Google Play и выяснила: 76% из них можно использовать в TapTrap-атаке. Главное, чтобы приложение:

  • запускало внешние активности;
  • не отменяло стандартные анимации перехода;
  • не ждало завершения анимации, прежде чем начать реагировать на нажатия.

Иными словами, всё работает по умолчанию — и на Android 15, и на свежем Android 16. Проверяли на Pixel 8a — уязвимость на месте.

Пока не исправлено, но обещают

Google уже в курсе. Представители компании пообещали устранить проблему в будущих обновлениях и напомнили, что Google Play следит за политиками безопасности приложений. А вот разработчики GrapheneOS — альтернативной защищённой версии Android — уже готовят исправление в следующем релизе.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Xello представила стратегию перехода от продуктов к платформам ИБ
Екатерина Быстрова 04 Сентября 2025 - 15:07
Корпорации Xello
Xello представила стратегию перехода от продуктов к платформам ИБ

28 августа в Москве прошла первая конференция Xello Open Day, где компания объявила о переходе от разработки отдельных продуктов к созданию платформ комплексной кибербезопасности. По словам представителей, новый подход позволит объединить разные решения в единую архитектуру и упростить работу специалистов по ИБ.

От продукта к платформе

В компании отметили, что со временем возможности их флагманского продукта Xello Deception стали выходить за рамки одного класса решений. Это подтолкнуло разработчиков к идее платформы, где компоненты работают как единая система. Такой формат, считают в Xello, помогает исключить дублирование функций, снизить ошибки настройки и объединить данные в одном «озере», доступном для анализа.

На практике это должно означать более быстрое расследование инцидентов, снижение затрат на ИБ и возможность гибкого масштабирования — от локальных установок до корпоративного уровня.

Две платформы

Xello планирует развивать два направления:

  • Xello Prisma — защита инфраструктуры;
  • Xello Datacube — защита данных.

В состав инфраструктурной платформы войдут несколько решений. Помимо Xello Deception, в неё интегрируют систему защиты идентификационных данных (Identity Protection) и новый EDR-продукт для обнаружения и реагирования на инциденты на конечных точках.

Xello Datacube, анонсированная весной, строится на принципах Zero Trust. Её идея — изолировать корпоративные данные на уровне операционной системы, разделять личную и рабочую информацию, предотвращать утечки и при этом не менять привычный интерфейс приложений для сотрудников.

Человеческий фактор и культура безопасности

Отдельная дискуссия на конференции была посвящена роли человека в защите информации. Представители банковского и корпоративного сектора подчеркнули: даже самые надёжные технологии не решают проблему человеческих ошибок.

  • В ПАО «Банк ПСБ» отметили, что важно назначать ответственных за данные внутри бизнеса и выстраивать процессы, где владелец информации несёт ответственность за её использование.
  • В Capital Group напомнили, что даже многофакторная аутентификация не спасает, если пользователь не понимает рисков. Здесь помогает обучение и повышение осведомлённости сотрудников.
  • В Angara Security предложили рассматривать защиту как сочетание технологий, качества внедрения и корпоративной культуры. Технологии помогают смещать акценты с наказаний за нарушения на превентивные меры.

Эксперты также обсудили внедрение концепции Zero Trust. Главным препятствием, по их мнению, остаются устаревшие системы, которые сложно адаптировать под современные требования.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Госдума одобрила создание национального мессенджера
Новость
Госдума одобрила создание национального мессенджера
143 фейковых сайта выдавали себя за Здоровую Россию для продажи БАДов
Новость
143 фейковых сайта выдавали себя за Здоровую Россию для прод...
Вымогатели OldGremlin вернулись в Россию с новыми инструментами атаки
Новость
Вымогатели OldGremlin вернулись в Россию с новыми инструмент...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.