Ataque TapTrap engaña usuarios con truco de interfaz de usuario invisible

Iniciado por AXCESS, Julio 08, 2025, 11:22:35 PM

Tema anterior - Siguiente tema

kackerweno y 6 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Julio 08, 2025, 11:22:35 PM Ultima modificación: Julio 08, 2025, 11:24:25 PM por AXCESS


Una novedosa técnica de tapjacking puede explotar las animaciones de la interfaz de usuario para eludir el sistema de permisos de Android y permitir el acceso a datos confidenciales o engañar a los usuarios para que realicen acciones destructivas, como borrar el dispositivo.

A diferencia del tapjacking tradicional basado en superposiciones, los ataques TapTrap funcionan incluso con aplicaciones sin permisos para lanzar una actividad transparente inofensiva sobre otra maliciosa, un comportamiento que no se ha mitigado en Android 15 y 16.

TapTrap fue desarrollado por un equipo de investigadores de seguridad de la Universidad Técnica de Viena (TU Wien) y la Universidad de Bayreuth (Philipp Beer, Marco Squarcina, Sebastian Roth, Martina Lindorfer), y se presentará el próximo mes en el Simposio de Seguridad de USENIX.

Sin embargo, el equipo ya ha publicado un documento técnico que describe el ataque y un sitio web que resume la mayoría de los detalles:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cómo funciona TapTrap

TapTrap aprovecha la forma en que Android gestiona las transiciones de actividad con animaciones personalizadas para crear una discrepancia visual entre lo que ve el usuario y lo que el dispositivo realmente registra.

Una aplicación maliciosa instalada en el dispositivo objetivo abre una pantalla sensible del sistema (solicitud de permiso, configuración del sistema, etc.) desde otra aplicación mediante 'startActivity()' con una animación personalizada de baja opacidad.

"La clave de TapTrap reside en usar una animación que hace que la actividad objetivo sea prácticamente invisible", afirman los investigadores en un sitio web que explica el ataque.

"Esto se puede lograr definiendo una animación personalizada con una opacidad inicial y final (alfa) baja, como 0,01", lo que hace que la actividad maliciosa o de riesgo sea casi completamente transparente.

"Opcionalmente, se puede aplicar una animación de escala para ampliar un elemento específico de la interfaz de usuario (por ejemplo, un botón de permiso), haciéndolo ocupar la pantalla completa y aumentando la probabilidad de que el usuario lo toque".

Descripción general de TapTrap


Aunque el mensaje inicial recibe todos los eventos táctiles, el usuario solo ve la aplicación subyacente, que muestra sus propios elementos de interfaz de usuario, ya que sobre ella se encuentra la pantalla transparente con la que interactúa.

Al creer que interactúa con la aplicación, el usuario puede tocar en posiciones específicas de la pantalla que corresponden a acciones arriesgadas, como los botones "Permitir" o "Autorizar" en mensajes prácticamente invisibles.

Un vídeo publicado por los investigadores demuestra cómo una aplicación de juegos podría aprovechar TapTrap para habilitar el acceso a la cámara de un sitio web a través del navegador Chrome:

Vídeo TapTrap PoC demonstration
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Exposición al riesgo

Para comprobar si TapTrap funcionaba con las aplicaciones de Play Store, el repositorio oficial de Android, los investigadores analizaron cerca de 100.000. Descubrieron que el 76 % de ellas son vulnerables a TapTrap, ya que incluyen una pantalla ("actividad") que cumple las siguientes condiciones:

Puede ser iniciada por otra aplicación

Se ejecuta en la misma tarea que la aplicación que la llama

No anula la animación de transición

No espera a que la animación termine para reaccionar a la entrada del usuario

Los investigadores afirman que las animaciones están habilitadas en la última versión de Android a menos que el usuario las desactive desde las opciones de desarrollador o la configuración de accesibilidad, lo que expone los dispositivos a ataques de TapTrap.

Durante el desarrollo del ataque, los investigadores utilizaron Android 15, la versión más reciente en ese momento, pero tras el lanzamiento de Android 16, también realizaron algunas pruebas.

Marco Squarcina declaró a BleepingComputer que probaron TapTrap en un Google Pixel 8a con Android 16 y pueden confirmar que el problema sigue sin resolverse.

GrapheneOS, el sistema operativo móvil centrado en la privacidad y la seguridad, también confirmó a BleepingComputer que la última versión de Android 16 es vulnerable a la técnica TapTrap y anunció que su próxima versión incluirá una solución.

BleepingComputer contactó a Google sobre TapTrap, y un portavoz afirmó que el problema se mitigará en una futura actualización:

"Android mejora constantemente sus medidas de mitigación contra los ataques de tapjacking. Estamos al tanto de esta investigación y abordaremos este problema en una futura actualización. Google Play cuenta con políticas para garantizar la seguridad de los usuarios, que todos los desarrolladores deben cumplir, y si detectamos que una aplicación ha infringido nuestras políticas, tomamos las medidas pertinentes", declaró un representante de Google.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario