Новият Android Attack ви подмами да давате опасни разрешения

Екип от университетски откриватели разкри нов употреба на Android Security, който повдига доста въпроси по отношение на системата за позволения на платформата. Техниката, наречена Taptrap, употребява анимации на потребителския интерфейс, с цел да ви заблуди образно да дава чувствителни позволения или да прави нездравословни дейности. За разлика от по -ранните офанзиви на TapJacking, Taptrap Android Attack работи, като започва транспарантна система подкани над постоянни интерфейси на приложения. Резултатът е съвсем незабележим пласт, който тихо улавя вашите кранове и взаимоотношения.

Регистрирайте се за моя безвъзмезден доклад за Cyberguy
Вземете най-хубавите си софтуерни препоръки, незабавни сигнали за сигурност и изключителни покупко-продажби, доставени напряко във вашата пощенска кутия. Plus, you’ll get instant access to my Ultimate Scam Survival Guide - free when you join my CYBERGUY.COM/NEWSLETTER

A person holding an Android phone (Kurt " CyberGuy " Knutsson)     

How the TapTrap Android exploit tricks you into granting permissions

As reported by Bleeping Computer, TapTrap takes advantage на това по какъв начин Android обработва преходите на интензивността сред приложенията. Злоупонното приложение може да започва екран на редовно равнище, употребявайки общоприетата функционалност за започваща интензивност, само че трансформира по какъв начин се появява дисплеят благодарение на персонализирана анимация. Чрез задаване както на старт, по този начин и в края на непрозрачността на доста ниска стойност, като 0,01, интензивността става съвсем невидима за потребителя.

Допирният вход към момента е изцяло регистриран от транспарантния екран, макар че потребителите виждат забележимото приложение изпод. Нападателите също могат да ползват анимация за мащабиране, която уголемява съответен детайл на потребителския интерфейс, като бутон за позволение, тъй че да попълня екрана. Това усилва шанса, че потребителят неумишлено ще допре бутона.

Изследователите пуснаха видео, показващо по какъв начин тази техника може да се употребява в приложение за игри, с цел да започва безшумно подкана за позволение на браузъра Chrome. Подкрепата желае достъп до камерата и потребителят допира „ позволява “, без да осъзнава какво са създали. Тъй като злонамереният екран е транспарантен, няма образни сигнали, които да допускат, че се случва нещо съмнително.

Изображение на телефон с Android (Kurt " Cyberguy " Knutsson)

Защо 76% от приложенията на Android са уязвими за Tapstrap

, с цел да се оцени какъв брой необятни може да бъдат уязвимото. Установено е, че към 76% са евентуално уязвими, не тъй като са злонамерени, а тъй като им липсват основни защитни ограничения. Тези приложения имаха най-малко един екран, който можеше да бъде стартиран от друго приложение, показа същия стек за задания, не съумя да анулира анимацията по дифолт на прехода и не блокира потребителския вход по време на прехода.

Android разрешава тези анимации по дифолт. Потребителите могат да ги деактивират единствено посредством настройки, които нормално са скрити, като варианти за разработчици или менюта за досегаемост. Дори най-новата версия на Android, тествана на Гугъл Pixel 8A, остава незащитена против този употреба.

grapheneos, операционна система, фокусирана върху сигурността, основана на Android, удостовери, че актуалната му версия също е наранена. Той обаче възнамерява да пусне корекция в идната си актуализация.

Гугъл призна казуса и съобщи, че бъдещата актуализация на Android ще съдържа намаляване. Въпреки че не е оповестена точна времева линия, се чака Гугъл да промени метода, по който се обработват входът и анимациите, с цел да се предотврати прихващането на невидимото допиране.

Компанията добави, че разработчиците би трябвало да следват строги политики на магазини за игра и че всяко приложение, открито да злоупотребява с тази накърнимост, ще се сблъска с дейности за използване на използване. 

Човек, който държи телефон с Android (Kurt " Cyberguy " Knutsson)

4 метода, по които можете да останете в сигурност от офанзива на Taptrap

1) Помислете за мобилно приложение за сигурност: Използвайте надеждно антивирусно или мобилно приложение за сигурност, което може да открие съмнително държание или да ви изведе на приложения, употребявайки преноси или достъпи. Победителите в антивирусна отбрана за вашите устройства Windows, Mac, Android & iOS на cyberguy.com/lockupyourtech

2) бъдете изборни за приложенията, които инсталирате: Избягвайте да инсталирате приложения, единствено тъй като те са в наклонност или имат плачни реклами. Проверете доверието на разработчиците, последните прегледи и позволения за приложения преди да изтеглите.

3) Придържайте се към Гугъл Play Store: Макар че не е съвършен, Play Store има по -добри защитни ограничения от инцидентни източници на APK. Избягвайте да инсталирате приложения от магазини на трети страни или незнайни уеб страници.

4) Пауза, преди да предоставите позволения: Ако приложение внезапно изиска достъп до вашата камера, микрофон или други чувствителни функционалности, вземете миг. Винаги се питайте дали това приложение в действителност се нуждае от това позволение сега.

Ключовото добиване на Курт

Taptrap демонстрира, че заканите за сигурност не постоянно идват от комплициран код или нападателен злотворен програмен продукт. Понякога дребните контрол във образното държание могат да отворят пътеки за сериозна корист. В този случай заплахата се крие в това, което потребителите не виждат. Хората се доверяват на това, което могат да видят на екраните си. Тази офанзива нарушава тази връзка посредством основаване на образно противоречие сред желание и резултат.

Вярваш ли на приложенията, които инсталирате от Play Store, или копаете по -дълбоко, преди да изтеглите? Уведомете ни, като ни напишете на cyberguy.com/contact

подпишете за моя безвъзмезден доклад за Cyberguy
Вземете най -добрите си софтуерни препоръки, незабавни сигнали за сигурност и изключителни покупко-продажби, доставени напряко във вашата пощенска кутия. Плюс това, ще получите неотложен достъп до моето управление за оцеляване на измамата - гратис, когато се присъедините към моя cyberguy.com/newsletter

Copyright 2025 CyberGuy.com.  Всички права непокътнати.

Курт " Cyberguy " Knutsson е награден механически публицист, който има дълбока обич към технологиите, оборудванията и джаджи, които вършат живота по-добър с приноса му за Fox News & Fox Business, започващ заран на " Fox & Friends ". Имате механически въпрос? Вземете безплатния бюлетин на Kurt Cyberguy, споделете гласа си, концепция за история или коментар на cyberguy.com.