Sicherheitslücke bei Android: Mittels „TapTrap“ Berechtigungen erschleichen
Ein Forschungsteam der TU Wien entdeckte eine Sicherheitslücke auf Android, womit betrügerische Apps Berechtigungen erschleichen können. Das steckt hinter „TapTrap“ und so geht man dagegen vor.
Apps sind nützliche Alltagshelfer, für mobile Geräte optimiert und meist übersichtlich gestaltet. Allerdings können Apps auch für kriminelle Zwecke manipuliert werden und so die Sicherheit von Userinnen und Usern gefährden. Ein Forschungsteam der TU Wien deckte eine Sicherheitslücke auf Android-Geräten auf, wodurch Apps unbemerkt über Bildschirmanimationen Zugriff auf Kamera, Standort oder den Gerätespeicher erhalten.
Angriff auf Geräte mittels „TapTrap“
Unter Android werden Übergänge zwischen App-Bildschirmen durch Animationen überblendet, die von Apps angepasst werden können. Bei der Angriffsmethode „TapTrap“ wird der Animationsübergang manipuliert, indem eine für die Nutzerin bzw. den Nutzer transparente und verzögerte Ansicht angezeigt wird. Der Bildschirm wird zwar nicht sichtbar verändert, durch Fingertippen reagiert aber die nun im Vordergrund laufende App. Somit lassen sich beispielsweise im Hintergrund Berechtigungsabfragen einblenden, wobei die Nutzerin bzw. der Nutzer unwissentlich etwas bestätigt oder ungewollte Aktionen setzt. Das gefährliche daran ist, dass somit einer böswilligen App Rechte übertragen werden können und sogar Gerätedaten gelöscht werden können.
Mit diesen Tipps für Android-Einstellungen bleibt das Smartphone sicher.
Das Forschungsteam demonstrierte die Angriffsmethode mit einer eigens entwickelten Spiele-App, bei der durch Tippen auf einem animierten Käfer Punkte gesammelt werden. Im Vordergrund sichtbar läuft die Spiele-App, wobei im Hintergrund ein Browser geöffnet wird, über dessen nicht sichtbare Oberfläche der animierte Käfer läuft. Verwenderinnen und Verwender dieser Spiele-App klicken so unwissentlich auf Bereiche bzw. Schaltflächen und merken nicht, dass sie eigentlich im Hintergrund eine andere App bedienen. So können beispielsweise Kamera-Freigaben erschlichen werden. Theoretisch wäre mit dieser Angriffsmethode auch das Öffnen von Banking-Apps oder das Löschen des gesamten Gerätes möglich.
76 Prozent der Play Store Apps sind potenziell angreifbar
Im Play Store wurden rund 100.000 Apps auf die Anfälligkeit der „TapTrap“ Angriffsmethode untersucht, mit dem Ergebnis, das 76 Prozent der Apps potenziell angreifbar sind. Eine aktive Verwendung dieser Angriffsmethode konnte bislang nicht nachgewiesen werden, allerding haben Firefox, Chrome und Brave die mobilen Browser, die angreifbar wären, aktualisiert. Ebenso aktualisiert wurde das auf Sicherheit fokussierte Android-basierte Betriebssystem GrapheneOS. Version 16 von Android ist weiterhin betroffen, Google will die Schwachstelle mit einem zukünftigen Update beheben.
Schutzmaßnahmen
Expertinnen und Experten empfehlen, den Download und die Installation von Apps, die ausschließlich von vertrauenswürdigen Quellen stammen. Wird unerlaubterweise auf die Kamera oder das Mikrophone des Smartphones zugegriffen, kann das am jeweiligen Symbol in der Statusleiste erkannt werden. Außerdem sollte die App-Animation im System deaktiviert werden. Diese Option findet sich bei den Einstellungen unter „Bedienungshilfen“ – „Farbe und Bewegung“.
Um das Smartphone zu schützen, sollten Apps vor dem Download und der Installation genau überprüft werden. Diese Bedrohungen können durch unseriöse Apps auftreten.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria