Androidtoestellen kwetsbaar voor onzichtbare TapTrap

Geplaatst op door

AndroidpoppetjeEen groep onderzoekers onder leiding van Philip Beer van de technische universiteit Wenen een bijzonder perfide kraaktruc ontdekt: de TikfoutVal (TapTrap). Die is gebaseerd op het feit dat verschillende toepassingen tegelijkertijd actief kunnen zijn op een telefoon. Normaal gesproken hebben we alleen interactie met de toep die op dat moment zichtbaar is op de voorgrond.
Dat hoeft echter niet zo te zijn. Er kunnen ook toeps in de achtergrond werken. Een malafide toep zou ongemerkt een andere toepassing kunnen starten, maar die niet weergeven. “Apps kunnen ook andere apps starten”, zegt Beer. “Dat is precies wat misbruikt kan worden.” De stiekeme toepassing is onzichtbaar voor ons, maar kan wel allerlei zaken beïnvloeden of doorgeven.
De onzichtbare toepassing kan nu onze invoer lezen of ons onwetend bepaalde acties laten uitvoeren. Beer: “We hebben dit getest door een eenvoudig spel te maken waarbij je punten verzamelt door op kleine beestjes op het scherm te tikken”, zegt Beer. “Het spel opent vervolgens een andere toep, zoals een webrauzer. Je hebt het gevoel dat je nog steeds het beestjesspel speelt, maar in werkelijkheid gebruik je de webrauzer nu.”
De onderzoekers lieten twintig proefpersonen het spel testen en ze slaagden erin om ongemerkt verschillende rechten te verkrijgen, zoals toegang tot de camera van de telefoon. Beer: “In theorie zou je op deze manier ook een bank-app kunnen starten, of zelfs alle gegevens van de telefoon kunnen verwijderen.” Zelfs als geheime acties daadwerkelijk een verzoekscherm creëren, kan dat worden onderdrukt door de onzichtbare toepassing.

Uit analyses van bijna 100 000 toepassingen uit de Android Play Store bleek maar liefst 76% van alle apps vatbaar te zijn voor TapTrap, melden de onderzoekers. Het positieve is dat deze beveiligingslekken tot nu toe niet lijken te zijn uitgebuit. “We hebben ongeveer 100 000 apps uit de Play Store onderzocht en geen enkele gevonden die deze kwetsbaarheid misbruikt”, zegt Beer. “We hopen daarom dat de kwetsbaarheid nog geen echte schade heeft aangericht, maar het probleem moet natuurlijk wel worden opgelost.”
Beer en zijn collega’s hebben het Android-ontwikkelteam al geïnformeerd. Ook de makers van Firefox en Google Chrome zijn benaderd – beide hebben de kwetsbaarheid voor hun webprogramma’s al opgelost. GrapheneOS, een Android-gebaseerd besturingssysteem dat speciaal is ontworpen om de beveiliging te maximaliseren, heeft het probleem ook al opgelost.

Mobiele telefoongebruikers moeten een paar basisregels volgen om dit soort ongein te vermijden. Beer: “In principe mag je nooit apps installeren waarvan de bron onbetrouwbaar lijkt. Als er toegang is tot de camera of microfoon, is dit vaak zichtbaar in pictogrammen in de statusbalk, dus daar moet je op letten.”
Wil je helemaal veilig zijn, dan kun je alle app-animaties uitschakelen in de instellingen onder ‘Toegankelijkheid’, ‘Kleur en beweging’. Dit verkleint de kans dat louche toeps om er langs glippen bij het opstarten van een app.

Bron: scinexx.de

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.