Il panorama della sicurezza Android si arricchisce purtroppo di una nuova tecnica di attacco tanto sofisticata quanto insidiosa, si chiama TapTrap ed è in grado di aggirare i meccanismi di protezione del sistema sfruttando uno dei suoi comportamenti più innocui, ovvero le animazioni di transizione dell’interfaccia utente.
Scoperta da un team di ricercatori della TU Wien e dell’Università di Bayreuth, questa nuova variante del classico tapjacking sarà ufficialmente presentata ad agosto nel corso dell’USENIX Security Symposium, ma è già stata ampiamente documentata.
Cos’è TapTrap e perché è diversa da tutte le altre minacce note
Chi segue da vicino l’evoluzione delle tecniche di social engeneering e di manipolazione dell’interfaccia su Android avrà certamente già sentito parlare di tapjacking, ovvero quei casi in cui un’app malevola sovrappone un’interfaccia fasulla a quella reale, inducendo l’utente a toccare pulsanti nascosti (come Consenti, Autorizza, Elimina dati e simili). TapTrap va oltre, non ha bisogno di overlay e non richiede permessi particolari, sfrutta invece una sottigliezza del sistema stesso, ovvero il modo in cui Android gestisce le animazioni tra un’attività e l’altra per creare un’illusione ottica efficace e molto difficile da rilevare a occhio nudo.
Nel dettaglio TapTrap funziona avviando un’attività sensibile del sistema, come una schermata di autorizzazione o una voce delle impostazioni, attraverso l’API startActivity(), ma applicando un’animazione personalizzata con opacità bassissima (tipicamente 0,01); il risultato? La nuova attività viene effettivamente mostrata e riceve tutti gli input dell’utente, ma resta praticamente invisibile, mentre sullo schermo l’utente continua a vedere l’interfaccia della stessa app (che può essere un gioco, un’app innocua o qualsiasi altra cosa).
In aggiunta, è anche possibile scalare un singolo elemento, ad esempio il pulsante Consenti, fino a farlo coincidere esattamente con l’area di interazione dell’utente, aumentando drasticamente le probabilità che venga premuto per errore; l’utente quindi crede di interagire con l’app A, ma in realtà sta toccando la schermata B, che è dannosa e operativa.
La scoperta purtroppo non è solo teorica, i ricercatori hanno testato TapTrap su oltre 100.000 applicazioni Android presenti sul Google Play Store, scoprendo che ben il 76% di esse è potenzialmente vulnerabile a causa del modo in cui gestiscono, o meglio non gestiscono, le animazioni di sistema.
Per rientrare tra quelle vulnerabili un’app deve soddisfare quattro criteri: può essere avviata da un’altra app, viene eseguita nello stesso stack di chi la chiama, non sovrascrive l’animazione di transizione predefinita e non attende il completamento dell’animazione prima di reagire all’input dell’utente. In pratica una configurazione estremamente comune.
Durante la sperimentazione TapTrap è stato testato su Android 15, versione più recente all’epoca dello sviluppo, ma anche su Android 16, ed entrambe le versioni del sistema operativo sono risultate vulnerabili.
Per dimostrare la pericolosità dell’attacco, i ricercatori hanno pubblicato il video che potete vedere qui sotto, in cui simulano un’app apparentemente innocua (un gioco) che, tramite TapTrap riesce a ottenere il consenso per accedere alla fotocamera via Chrome senza che l’utente se ne accorga; un’operazione che, di fatto, viola ogni logica di trasparenza e consapevolezza nell’uso dei permessi.
Google è stata contattata in merito alla scoperta e ha confermato di essere al corrente della tecnica, in una dichiarazione l’azienda ha affermato:
Android sta costantemente migliorando le sue attuali misure di mitigazione contro gli attacchi di tapjacking. Siamo a conoscenza di questa ricerca e affronteremo questo problema in un futuro aggiornamento. Google Play ha implementato delle policy per garantire la sicurezza degli utenti, a cui tutti gli sviluppatori devono attenersi, e se scopriamo che un’app viola le nostre policy, adottiamo misure appropriate.
Nell’attesa di un fix ufficiale da parte di Google, che potrebbe richiedere del tempo, gli utenti più attenti possono intervenire manualmente disattivando le animazioni del sistema operativo; le opzioni per farlo si trovano nelle opzioni sviluppatore o nelle impostazioni di accessibilità del sistema. Si tratta di una misura forse estrema, ma che può offrire una protezione immediata per chi è particolarmente attento alla sicurezza dei propri dati.
TapTrap rappresenta dunque l’ennesima dimostrazione che anche i comportamenti apparentemente innocui del sistema possono essere sfruttati per scopi malevoli, specie quando si gioca con il modo in cui l’utente percepisce ciò che vede e tocca sullo schermo. Nonostante non ci siano ancora exploit attivi noti in circolazione, il fatto che la tecnica sia pubblica e replicabile lascia intendere che gli sviluppatori di malware non resteranno a guardare a lungo.
Non ci resta quindi che pazientare in attesa di un aggiornamento correttivo, continuando a restare vigili ed evitando di installare app da fonti non ufficiali o poco sospette, prestando al contempo particolare attenzione a eventuali comportamenti anomali durante l’uso quotidiano del proprio dispositivo Android.