von
In Smartphones oder Tablets können mehrere Apps gleichzeitig aktiv sein. Interagiert wird üblicherweise mit der im Vordergrund sichtbaren Anwendung. Apps können allerdings auch andere Apps starten. "Damit man das als User nicht mitbekommt, nutzt die bösartige App Animationen, etwa solche mit langer Dauer und hoher Transparenz", erklärte Philipp Beer von der Security and Privacy Group der Technischen Universität (TU) Wien gegenüber der APA.
"Diese Animation macht dann beispielsweise eine Browser-App oder eine Berechtigungseinstellung komplett unsichtbar, so Beer." Mit Fingertippen wird also die nun im Vordergrund befindliche unsichtbare App, etwa ein Browser, gesteuert. Eine solche "TapTrap" genannte Attacke "kann von einer bösartigen App verwendet werden, um das Berechtigungssystem von Android heimlich zu umgehen und Zugriff auf sensible Daten zu erhalten oder schädliche Aktionen auszuführen, wie z.B. das Löschen von Daten ohne Zustimmung des Benutzers", schreiben die Informatikerinnen und Informatiker in ihrer Arbeit, die sie Mitte August bei der Sicherheitskonferenz USENIX in Seattle (USA) präsentieren werden.
Beer und seine Kolleginnen und Kollegen Marco Squarcina, Sebastian Roth und Martina Lindorfer haben eine solche Attacke mit dem simplen Spiel "KillTheBugs" ausprobiert. Dabei sammelt man Punkte, indem man auf dem Bildschirm kleine Käfer antippt. Das Spiel öffnet allerdings versteckt durch eine Animation eine andere App, zum Beispiel einen Browser. "Wir können nun nach Belieben unsere Käfer aus dem Spiel so platzieren, dass genau die Position am Bildschirm angetippt wird, die wir wollen. Man hat das Gefühl, immer noch das Käfer-Spiel zu spielen, aber in Wahrheit bedient man nun die neu gestartete App, die man gar nicht sieht", so der Informatiker.
Bei Tests mit 20 Versuchspersonen gelang es dem Team um Beer tatsächlich, auf diese Weise unbemerkt an verschiedene Berechtigungen zu kommen, etwa Zugriff auf die Kamera des Smartphones zu erhalten. "Theoretisch könnte man auf diese Weise auch eine Banking-App starten, oder auch alle Daten auf dem Handy löschen", sagte der Informatiker.
Das Forschungsteam hat rund 100.000 Apps aus dem Play Store untersucht und keine Anwendung gefunden, die diese Lücke ausnützt. Die Informatiker hoffen daher, dass bisher noch kein echter Schaden angerichtet wurde - "aber natürlich muss das Problem behoben werden", so Beer. Denn drei Viertel der Apps sind für "TapTrap"-Attacken anfällig.
Verschiedene Entwicklungs- und Sicherheitsteams wurden bereits im Vorjahr auf die Möglichkeit einer "TapTrap"-Attacke aufmerksam gemacht, jene der Browser "Firefox" und "Google Chrome" hätten die Lücke bereits geschlossen. Auch GrapheneOS, ein Android-basiertes Betriebssystem, habe das Problem schon gelöst.
Die Informatiker raten dazu, nie Apps zu installieren, deren Herkunft nicht vertrauenswürdig erscheint. Ein Zugriff auf Kamera oder Mikrofon sei oft auch an Symbolen in der Statusleiste sichtbar. Ganz sicher gehe man, wenn man App-Animationen überhaupt deaktiviert. Das ist in den Einstellungen unter "Bedienungshilfen", "Farbe und Bewegung" möglich.
(SERVICE - Website des Forschungsteams zur "TapTrap"-Attacke mit Domonstrationsvideo: https://taptrap.click; Link zum Kongress-Paper: https://taptrap.click/usenix25_taptrap_paper.pdf)
