TapTrap ataca Android: ahora los hackers no necesitan permisos ni consentimiento

Un equipo de investigación de la Universidad Técnica de Viena y la Universidad de Bayreuth ha desarrollado un nuevo tipo de ataque en Android, capaz de eludir el sistema de permisos, incluso si una aplicación maliciosa no tiene ningún privilegio. Este método ha sido denominado TapTrap y será presentado en el próximo simposio USENIX sobre seguridad informática. Sin embargo, los autores ya han publicado una descripción técnica y han creado un sitio web donde explican detalladamente el mecanismo del ataque.

A diferencia de la superposición tradicional de elementos gráficos, donde una interfaz maliciosa cubre una segura, TapTrap utiliza animaciones de la interfaz de usuario de Android para crear una discrepancia visual entre lo que el usuario ve y lo que realmente pulsa. Este método sigue siendo eficaz incluso en las últimas versiones de Android 15 y 16 y no requiere solicitar ningún permiso.

El núcleo del método consiste en iniciar una actividad transparente —una pantalla casi invisible— sobre otra aplicación. Esto se logra mediante la invocación de una pantalla del sistema, por ejemplo, una ventana de solicitud de permiso, usando la herramienta estándar de Android startActivity(), pero aplicando una animación personalizada que hace la pantalla prácticamente completamente transparente.

Si se establece el canal alfa con un valor inicial y final de 0.01, el usuario simplemente no notará la aparición de la nueva interfaz. También es posible escalar elementos específicos, como el botón “Permitir”, para que ocupen toda la pantalla, aumentando la probabilidad de una pulsación accidental.

En este escenario, la pantalla invisible recibe todas las pulsaciones, y el usuario cree que está interactuando con una interfaz familiar, como una aplicación de juegos. Sin embargo, en realidad sus pulsaciones pueden desencadenar acciones críticas o peligrosas —desde otorgar acceso a la cámara hasta activar el restablecimiento de fábrica del dispositivo.

En un video publicado se demuestra cómo una aplicación de juegos puede, mediante TapTrap, conceder silenciosamente permiso para usar la cámara a un sitio web a través del navegador Chrome.

La investigación abarcó casi 100 mil aplicaciones de la tienda oficial Play Store. Se descubrió que el 76% de ellas son potencialmente vulnerables a esta técnica. La vulnerabilidad ocurre si la aplicación contiene una pantalla que cumple las siguientes condiciones: puede ser iniciada por otra aplicación, se ejecuta en la misma tarea, no redefine la animación de transición y no espera a que termine la animación antes de activar acciones del usuario.

Dado que las animaciones están habilitadas por defecto en Android y solo pueden desactivarse manualmente mediante configuraciones de desarrollador o accesibilidad, millones de dispositivos están en riesgo. Las pruebas de TapTrap se realizaron inicialmente en Android 15, pero tras el lanzamiento de Android 16, el equipo también verificó la nueva versión en un dispositivo Google Pixel 8a y confirmó que la vulnerabilidad sigue presente.

El proyecto GrapheneOS, especializado en privacidad, también reconoció el problema y declaró que la vulnerabilidad será corregida en la próxima actualización.

La empresa Google ya ha comentado la situación, señalando que en futuras actualizaciones de Android se implementará una protección contra TapTrap. Un representante de la compañía añadió que Google Play utiliza mecanismos de control para garantizar la seguridad de los usuarios, y que en caso de violación de políticas, las aplicaciones correspondientes son eliminadas o bloqueadas.