Kỹ thuật tấn công TapTrap mới trên Android

Một kỹ thuật tapjacking mới có thể khai thác hiệu ứng chuyển cảnh để bỏ qua hệ thống cấp phép của Android, cho phép truy cập vào dữ liệu nhạy cảm hoặc đánh lừa người dùng để thực hiện các hành vi phá hoại, chẳng hạn như xóa thiết bị.

Tapjacking tương tự như clickjacking trong môi trường web, là một hình thức tấn công trên các thiết bị Android. Kẻ tấn công đánh lừa người dùng tương tác với một thành phần giao diện người dùng độc hại bằng cách che phủ nó bằng một giao diện khác, khiến người dùng vô tình thực hiện các hành động mà họ không hề hay biết.

Không giống như phương pháp tấn công tapjacking truyền thống dựa trên lớp phủ, các cuộc tấn công TapTrap thậm chí còn hoạt động với các ứng dụng không có quyền để khởi chạy một tiến trình che giấu mã độc.

TapTrap được phát triển bởi một nhóm các nhà nghiên cứu bảo mật đến từ Đại học Công nghệ Vienna (Áo) và Đại học Bayreuth (Đức). Dự kiến kiểu tấn công này sẽ được trình bày vào tháng 8 tới tại Hội nghị chuyên đề bảo mật USENIX. Tuy nhiên, hiện nay các nhà nghiên cứu đã công bố một bài báo kỹ thuật phác thảo cuộc tấn công chi tiết.

Cách thức hoạt động của TapTrap

TapTrap lợi dụng cách Android xử lý chuyển đổi hoạt ảnh bằng hình ảnh động tùy chỉnh để tạo ra sự khác biệt về hình ảnh giữa những gì người dùng nhìn thấy và những gì thiết bị thực sự ghi lại. Một ứng dụng độc hại được cài đặt trên thiết bị mục tiêu sẽ khởi chạy màn hình hệ thống nhạy cảm (lời nhắc cấp quyền, cài đặt hệ thống,…) từ một ứng dụng khác bằng cách sử dụng hàm “startActivity()” với hình ảnh động có độ mờ thấp tùy chỉnh.

Các nhà nghiên cứu cho biết: “Chìa khóa của TapTrap là sử dụng hình ảnh động khiến hoạt động mục tiêu gần như vô hình. Điều này có thể đạt được bằng cách xác định hoạt ảnh tùy chỉnh với cả độ mờ bắt đầu và kết thúc (alpha) được đặt thành giá trị thấp, chẳng hạn như 0,01, do đó làm cho hoạt động độc hại hoặc rủi ro gần như hoàn toàn vô hình”.

Tùy chọn có thể áp dụng hiệu ứng động để phóng to một thành phần UI cụ thể, khiến thành phần này chiếm toàn màn hình và tăng khả năng người dùng sẽ chạm vào thành phần đó.

Tổng quan về kỹ thuật tấn công TapTrap

Mặc dù lời nhắc được khởi chạy nhận được tất cả các sự kiện chạm, nhưng tất cả những gì người dùng nhìn thấy chỉ là ứng dụng cơ bản hiển thị các thành phần UI của riêng nó, vì bên trên đó là màn hình trong suốt mà người dùng thực sự tương tác. Khi nghĩ rằng đang tương tác với ứng dụng, người dùng có thể chạm vào các vị trí cụ thể trên màn hình tương ứng với các hành động rủi ro, chẳng hạn như nút “Cho phép” hoặc “Ủy quyền” trên các lời nhắc gần như vô hình.

Đặc biệt, một video do các nhà nghiên cứu phát hành cho thấy cách một ứng dụng trò chơi có thể tận dụng TapTrap để cho phép truy cập camera vào một trang web thông qua trình duyệt Chrome.

Bề mặt tấn công

Để kiểm tra xem TapTrap có thể hoạt động với các ứng dụng trên Google Play Store hay không, các nhà nghiên cứu đã phân tích gần 100.000 ứng dụng. Họ phát hiện ra rằng 76% ứng dụng trong số đó dễ bị TapTrap tấn công nếu đáp ứng các điều kiện sau: Có thể được khởi chạy bởi một ứng dụng khác; Chạy trong cùng một tác vụ với ứng dụng; Không ghi đè hoạt ảnh chuyển tiếp và Không đợi hoạt ảnh kết thúc trước khi phản hồi lại thông tin đầu vào của người dùng.

Các nhà nghiên cứu cho biết hoạt ảnh được bật trên phiên bản Android mới nhất trừ khi người dùng tắt chúng khỏi tùy chọn dành cho nhà phát triển hoặc cài đặt trợ năng, khiến thiết bị có nguy cơ dễ bị tấn công TapTrap. Trong khi phát triển cuộc tấn công, các nhà nghiên cứu đã sử dụng Android 15, phiên bản mới nhất vào thời điểm đó, nhưng sau khi Android 16 ra mắt, họ cũng đã chạy một số thử nghiệm trên phiên bản này.

Nhà nghiên cứu Marco Squarcina chia sẻ với trang tin BleepingComputer rằng họ đã thử nghiệm TapTrap trên Google Pixel 8a chạy Android 16, đồng thời xác nhận rằng vấn đề vẫn chưa được khắc phục. Trong khi đó GrapheneOS, hệ điều hành di động tập trung vào quyền riêng tư và bảo mật, cũng đã cho rằng Android 16 mới nhất dễ bị tấn công bằng kỹ thuật TapTrap và thông báo rằng bản phát hành tiếp theo của họ sẽ bao gồm bản vá lỗi.

“Android đang liên tục cải thiện các biện pháp giảm thiểu hiện có để chống lại các cuộc tấn công tapjacking. Chúng tôi đã nhận thức được nghiên cứu này và sẽ giải quyết vấn đề này trong bản cập nhật sắp tới. Google Play có các chính sách để đảm bảo an toàn cho người dùng mà tất cả các nhà phát triển phải tuân thủ, nếu chúng tôi phát hiện ứng dụng nào vi phạm chính sách, chúng tôi sẽ có hành động thích hợp để xử lý”, Google cho biết.