TapTrap - Eine perfide, kaum sichtbare Android-Attacke bleibt ungelöst

Ein neues Verfahren erlaubt es Android-Apps, Nutzer unbemerkt zu täuschen - sie tippen auf sichtbare Elemente, lösen aber unsichtbare Aktionen aus. So lassen sich Rechte wie Kamera- oder Standortzugriff erschleichen - ohne Warnung, ohne Erlaubnis.

TapTrap: Unsichtbare Android-Gefahr erschleicht Zugriffe

Eine neu entdeckte Sicherheitslücke auf Android erlaubt es Apps, über harmlose Bildschirmanimationen Zugriff auf Kamera, Standort oder sogar Gerätespeicher zu erschleichen - ohne dass Nutzer dies bemerken. Die Angriffsmethode namens TapTrap wird vom Entwicklerteam auf der Sicherheitskonferenz USENIX 2025 in Seattle erstmals öffentlich präsentiert.

Technisch basiert TapTrap auf einem unscheinbaren Detail: Übergänge zwischen App-Bildschirmen werden in Android durch Animationen überblendet. Diese Animationen können von Apps individuell angepasst werden. TapTrap nutzt das, um eine neue Ansicht - etwa eine Berechtigungsabfrage - vollständig transparent und lang verzögert einzublenden. Währenddessen wird der Bildschirm sichtbar nicht verändert, aber alle Berührungen treffen bereits das unsichtbare Ziel-Fenster.

Theoretisch könnte man diese Methode auch verwenden, um eine Banking-App zu starten oder alle Daten auf dem Mobiltelefon zu löschen.

Das Team an der TU Wien um Philipp Beer, Sebastian Roth, Marco Squarcina und Martina Lindorfer demonstrierte den Angriff mit einem eigens entwickelten Spiel: Nutzer tippen dort auf Käfer, um Punkte zu sammeln. Im Hintergrund wird gleichzeitig ein Browser geöffnet, auf dessen Oberfläche die "Käfer" exakt über Schaltflächen gelegt sind, etwa zur Kamera-Freigabe. Die Betroffenen merken nicht, dass sie gerade eine andere App bedienen.


In einer Testreihe mit 20 Personen gelang es dem Team, sensible Rechte wie Kamerazugriff zu erschleichen, ohne dass ein Teilnehmer den Vorgang vollständig durchschaute. Theoretisch sei auch das Starten von Banking-Apps oder das Löschen des gesamten Geräts möglich, so Beer.

Technische Übersicht - TapTrap im Detail:

Bislang nicht überall gefixt

Rund 100.000 Apps aus dem Play Store wurden auf TapTrap-Anfälligkeit untersucht - 76 Prozent wären potenziell angreifbar. Aktive Ausnutzung wurde bislang nicht nachgewiesen. Firefox, Chrome und Brave haben ihre mobilen Browser, die ebenfalls für TapTrap anfällig gewesen wären, inzwischen aktualisiert, ebenso das sicherheitsfokussierte Android-Derivat GrapheneOS. Android selbst bleibt jedoch betroffen - auch in Version 16, der aktuellsten Ausgabe des Systems. Google hat die Schwachstelle bestätigt und angekündigt, sie in einem zukünftigen Systemupdate zu beheben. Ein genauer Zeitpunkt wurde bisher nicht genannt.

Einzige Schutzmaßnahme bislang: Das Deaktivieren von Systemanimationen über die Bedienungshilfen in den Geräteeinstellungen ("Farbe & Bewegung"). Damit wird die Grundlage des Angriffs entzogen - allerdings auf Kosten des Nutzerkomforts. Die TU Wien empfiehlt außerdem, Statusanzeigen für Kamera- oder Mikrofonzugriffe im Blick zu behalten und auf unbekannte App-Quellen konsequent zu verzichten. Alle Informationen sind auf der offiziellen TapTrap-Seite einsehbar.


Siehe auch: