TapTrap tapjacking
A TapTrap egy újfajta tapjacking módszer, amely az Android felhasználói felületi animációk manipulálásával csalja rá a felhasználót arra, hogy érzékeny műveleteket hajtson végre, miközben semmit sem lát a tényleges képből. A támadás során egy ártatlannak tűnő alkalmazás láthatóan semmit sem kér, de közben egy teljesen átlátszó, aktiválódott rendszerképernyő fut felette – például jogosultságkérés vagy beállítás – amit az áldozat láthatatlan felületen érint, így engedélyt ad jogosulatlan hozzáférésekre.
A módszer technikája egyszerű, de hatékony, a támadó app egy másik appból való indításnál egyedi animációt állít be, amely csak 0.01‑es átlátszóságú (gyakorlatilag láthatatlan), és akár nagyítás is alkalmazható egy adott engedélygomb helyén. Így a felhasználó azt hiszi, a játékot vagy más alkalmazást használja, miközben például engedélyezi a kamerahozzáférést a háttérben, vagy rendszerbeállításokat módosít.
Ez a típusú tapjacking már az Android 15 és 16 rendszereken is működik, és nem igényel semmilyen különleges engedélyt a támadó apptól – akkor is alkalmazható, ha az app semmilyen jogosultsággal nem rendelkezik. Ez új dimenziót ad a felhasználói interfész alapú támadásoknak, a UI logika alkalmazásvezérlésre is kihasználható.
A kutatók demonstrációjában egy játék app miatt a felhasználó valójában a Chrome engedélyt adta meg a kamera eléréséhez, anélkül, hogy felismerte volna, hogy valami történik a háttérben.
