2025. 07. 17., 15:26

Az új Android trükk, amitől bármelyik app veszélyes lehet

Az új Android trükk, amitől bármelyik app veszélyes lehet
Egy teljesen új támadási módszert dolgoztak ki kutatók, amely képes kijátszani az Android jogosultságkezelését, így hozzáférhet érzékeny adatokhoz, vagy olyan káros műveleteket hajtat végre a felhasználóval, mint például a készülék teljes törlése. Az eddig, átlátszó rétegeken alapuló támadásoknál is kifinomultabb az úgynevezett TapTrap-technika, amely még teljesen jogosultság nélküli alkalmazások segítségével is működik, és amely ellen jelenleg sem az Android 15, sem a 16 nem nyújt védelmet.

Hogyan működik a TapTrap?

A TapTrap kihasználja, hogy az Android hogyan kezeli az alkalmazások közötti átmeneteket testreszabott animációkkal. Egy rosszindulatú alkalmazás képes egy másik alkalmazásból elindítani egy érzékeny rendszerképernyőt – például jogosultságkérést vagy rendszerbeállítást –, majd ehhez olyan egyedi animációt társít, amely szinte teljesen láthatatlanná varázsolja a képernyőt. Az animáció elején és végén nagyon alacsonyra, például 0,01-re állítják az átlátszósági szintet, így az új, valójában veszélyes képernyő szinte teljesen átlátszó lesz. Más animációval akár azt is elérhetik, hogy a rendszer a felhasználó által várt gombra nagyítson rá.

A felhasználók könnyen átverhetők

Ilyenkor a háttérben elindított engedélykérő képernyő rögzíti a felhasználó összes érintését, de a képernyőn továbbra is az eredeti, ártalmatlan alkalmazás látszik. A felhasználó azt hiszi, hogy a megszokott appját használja, miközben valójában egy szinte teljesen átlátszó, veszélyes, rendszerszintű képernyőn ad engedélyeket vagy hajt végre káros műveletet.

A kutatók bemutató videója szerint akár egy ártalmatlan játékalkalmazás is képes bekapcsolni a kamerához való hozzáférést egy weboldal számára a Chrome böngészőn keresztül, a felhasználó tudta nélkül.

Rengeteg alkalmazás sérülékeny, Android 16 sem véd

Közel 100 ezer, a Google Play Áruházban elérhető alkalmazást vizsgáltak meg, és ezek 76%-a sérülékeny a TapTrap-pel szemben, mivel mindegyik tartalmaz olyan indítható képernyőt, amely megfelel a következő feltételeknek: külső alkalmazás is elindíthatja, nem írja felül az alapértelmezett animációt, illetve nem várja meg az animáció végét, mielőtt fogadja a felhasználói bevitelt. Az újabb Android-verziókban ezek az animációk alapból be vannak kapcsolva, így amíg a felhasználó ki nem kapcsolja őket, a mobilja védtelen.

A technikát Google Pixel 8a készüléken, Android 16 rendszerrel is kipróbálták, sőt, a GrapheneOS fejlesztői is elismerték, hogy ez a verzió is sérülékeny. A Google jelezte, hogy már dolgoznak a javításon egy következő frissítéshez, de addig is bármilyen alkalmazás átverheti a felhasználót – ha a fejlesztők nem figyelnek oda.


A legegyszerűbb trükk néha a leghatékonyabb

Bár a kiberbűnözők egyre fejlettebb technológiákat vetnek be, az ilyen meglepően egyszerű módszerek is sikeresek lehetnek – különösen, ha a legtöbb alkalmazás sérülékeny marad, amíg a frissítések nem érkeznek meg.

2025, adminboss, www.bleepingcomputer.com alapján

  • Te mit gondolsz arról, hogy ennyire egyszerű trükkökkel is átverhetőek vagyunk?
  • Szerinted ki a felelős, ha egy ilyen támadás sikeres lesz?
  • Te hogyan védekeznél egy olyan veszély ellen, amit még a legújabb rendszer sem tud megakadályozni?


Legfrissebb posztok

csütörtök 18:31

A fák növekedés után is elnyelik a szén-dioxidot

🌲 Az évszakok változása és az egyre melegebb éghajlat régi elméleteket kérdőjelez meg az erdők szénmegkötésével kapcsolatban...

csütörtök 17:01

Az A-vitamin új felfedezése átírja, amit a látásról hittünk

👀 Érdemes megérteni, hogy a Johns Hopkins Egyetem kutatóinak sikerült megfejteniük, miként alakul ki az éles, központi látásunk már születésünk előtt...

csütörtök 16:31

A Microsoft befoltozta a Defender nulladik napi RoguePlanet-hibáját

🛡 Érdemes megvizsgálni, hogy a júniusi hibajavítási hullám után egy új, napvilágot látott sebezhetőség miatt ismét frissítést kellett kiadnia a Microsoftnak...

csütörtök 16:02

Az NHTSA nekimegy az önvezetőknek: útban vannak a mentőknek

🚧 Az Egyesült Államok Közlekedésbiztonsági Hivatala most ultimátumot adott az önvezető autókat fejlesztő cégeknek: július végéig találják meg a megoldást arra, hogy a sofőr nélküli járművek ne zavarják a mentőket vészhelyzetekben...

csütörtök 14:31

A Linux-hiba, amivel kiszökhet a vendég VM — 250 ezer dollár a Google-tól

🚨 Noha a Linux hosszú ideje az egyik legmegbízhatóbb operációs rendszerként él a köztudatban, a közelmúltban két súlyos sebezhetőség is napvilágra került, amelyek alapjaiban rengethetik meg a felhőszolgáltatók biztonságát...

csütörtök 12:01

Az apró szilícium-dioxid-részecskék egerekben kiirtották az agresszív prosztatarákot

🔬 A Cornell Egyetem kutatói új típusú, mikroszkopikus szilícium-dioxid nanorészecskéket fejlesztettek ki, amelyek képesek közvetlenül elpusztítani a prosztatarákos daganatokat, miközben egyidejűleg aktiválják a szervezet immunrendszerét is a rák elleni harcra...

csütörtök 11:01

A Grok 4.5 már önmagában megéri az X-előfizetést?

💡 Grok 4.5 bemutatkozott, és jelentősen egyszerűsíti a bonyolult feladatok elvégzését. Kódírás, táblázatok és prezentációk készítése most egyetlen munkafolyamatba sűríthető anélkül, hogy újra és újra át kellene írni az utasításokat...

csütörtök 10:49

A New Horizons felébredt: indul a küldetés a Plútón túl

321 napos alvás után újra felébredt a New Horizons űrszonda, amely már a Naprendszerünk peremén gyűjti az adatokat...

csütörtök 10:36

Az Einstein-jóslat beteljesült: a Föld magával sodorja a téridőt

Több mint száz évvel Einstein elméletének megszületése után az asztrofizikusok ismét igazolták a nagy fizikus forradalmi gondolatát: a Föld valóban maga után húzza a téridőt, miközben kering a Nap körül...

csütörtök 10:24

A Samsung PM1763 PCIe Gen6 vállalati SSD már gyártásban

A Samsung bemutatta első PCIe 6.0 szabványú üzleti SSD-jét, a PM1763-at, amelyet kifejezetten MI- és nagy teljesítményű számítógépes szerverekhez fejlesztettek...

csütörtök 10:01

Az AirPods-gyártó Luxshare több mint 5%-ot zuhan hongkongi debütjén

💸 A Luxshare Precision Industry tőzsdei premierje csalódást okozott Hongkongban: a részvényárfolyam több mint 5 százalékot esett csütörtök reggel, annak ellenére, hogy a városban az idei év legnagyobb elsődleges nyilvános részvénykibocsátását (IPO) bonyolította le...

csütörtök 09:49

A diagnosztikai rejtély: évekig hallotta a hangokat, mégsem pszichózis

Egy kanadai nő életét éveken át ismeretlen eredetű hanghallás keserítette meg...

csütörtök 09:37

A fényben is ütős OLED: Samsung vagy LG a nyerő?

A nappali központja ma már a televízió, főleg, ha nagy fényerejű helyiségben kell helytállnia...

csütörtök 09:25

A GPT-Live itt van: a ChatGPT végre emberien beszél

Újabb fordulóponthoz érkezett az MI-alapú hangkommunikáció: az OpenAI bemutatta a GPT-Live nevű megoldását, amely minden eddiginél természetesebb, párbeszédszerű beszélgetést tesz lehetővé a ChatGPT-vel...

csütörtök 09:13

A T‑Mobile két legjobb akcióját már nem kapják meg saját ügyfelei

Megemlíthető, hogy az utóbbi hetekben a T‑Mobile ügyfeleinek egyre több csalódással kellett szembenézniük...

APP
csütörtök 09:11

APPok, Amik Ingyenesek MA, 7/9

Fizetős iOS appok és játékok, amik ingyenesek a mai napon.     Stack zero (iPhone/iPad)A Stack Zero alkalmazás beépített, Apple által támogatott dokumentum-szkennerével a papíralapú iratok digitalizálása rendkívül egyszerű és gyors...

csütörtök 08:49

Az adriai harcos herceg 2500 éves sírja szekérrel és sisakkal került elő

Egy itáliai tengerparti kisváros földje alatt bukkantak rá egy rejtélyes ókori uralkodó temetkezési helyére...

csütörtök 08:37

A hackerek Roundcube-hibával kémkednek az egyetemi kutatók után

🔎 A legutóbbi kiberbiztonsági vizsgálatok szerint veszélybe kerültek az amerikai és kanadai egyetemek kutatói: ismeretlen támadók gyenge pontokat fedeztek fel a Roundcube-levelezőszervereken, és ezt kihasználva fizikusokat, mérnököket, adminisztrátorokat, illetve asztrofizikával, részecskefizikával vagy nemzetbiztonsággal foglalkozó intézményeket is megcéloztak...

csütörtök 08:25

A tévém lebutításával léptem meg a követést – így tedd te is

Otthon a tévézés már régen nem a magánszféráról szól. Az okostévék folyamatosan figyelik, mit nézel, majd ezt az adatot eladják más cégeknek, vagy éppen azért jelennek meg ugyanazok a hirdetések a telefonodon, a weben vagy a tévéden, amit előzőleg valamelyik online áruházban kerestél...

csütörtök 08:13

Az FTC kiharcolta: a John Deere traktorai végre szabadon javíthatók

🚜 Az elmúlt évben komoly viták dúltak arról, javíthatják-e a gazdák saját gépeiket, vagy minden apróbb hibával szerelőhöz kell-e fordulniuk...

csütörtök 07:48

A nagy Ozempic–Wegovy baki: ezrek a toxikológián

🤒 Tipikus eset, amikor valami, ami elsőre kézenfekvőnek és egyszerűnek látszik, valójában jóval bonyolultabb, mint gondolnánk...

csütörtök 07:25

A foci-vb új csúcsra pörgette a Google-kereséseket

⚽ Páratlan forgalmat hozott a Google-nek a világbajnokság, minden eddigi keresési csúcsot megdöntve...

csütörtök 07:13

Az óceánfenék születése most tárul fel a legtisztábban

Kilométerekkel az óceán felszíne alatt a Föld tengerfenéke folyamatos mozgásban van...

csütörtök 07:01

A Harvard tudósai DNS-írót faragtak egy szilíciumchipből

🔬 A Harvard Egyetem kutatói forradalmasítják a biotechnológiát: egy szilíciumchip már nemcsak információt dolgoz fel, hanem képes DNS-t is létrehozni...

csütörtök 06:36

A heidelbergi fizikusok egyesítettek két ellentétes kvantumelméletet – történelmi áttörés

💡 Régóta húzódó rejtély oldódott meg a kvantumfizika világában. Egy új elméleti keretrendszer először egyesíti két, egymásnak látszólag ellentmondó modellt arról, hogy miként viselkedik egy különösen szokatlan részecske a zsúfolt kvantumkörnyezetben...

csütörtök 06:06

Történelmi események a mai napon (Július 9.)

Viharos nap a történelemben: pusztító földrengés Japánban, nagyhatalmi fordulatok Európában, mérföldkő a rabszolgaság felszámolásában, és modern kori sorsfordulók Dél-Szudán függetlenné válásáig...

csütörtök 06:01

Az online piactereken még mindig tucatjával kínálnak veszélyes babatermékeket

🛑 A brit online piactereken még mindig tucatjával bukkannak fel veszélyes babatermékek, köztük önetető eszközök, párnák és hálózsákok...

szerda 18:31

A neutroncsillag-ütközések titka: az új MI-modell felfedi a nehéz elemek eredetét

Külön említést érdemel, hogy egy nemzetközi kutatócsoport forradalmi szimulációt dolgozott ki, amely mesterséges intelligenciát használ fel annak feltérképezésére, hogyan keletkeznek az univerzum legnehezebb elemei...

szerda 18:02

A kreatin nem csak izmot épít: segíthet a rák ellen is?

Ki gondolta volna, hogy az egyik legnépszerűbb sporttáplálék-kiegészítő nemcsak a testépítők kedvence lehet, hanem a rákkutatás egyik izgalmas eszközévé is válhat?..