image

Android-app kaapt tapbewegingen

maandag 17 december 2012, 11:57 door Redactie, 3 reacties

Beveiligingsonderzoekers waarschuwen voor een nieuwe dreiging op het Android-platform, waardoor kwaadaardige apps de tapbewegingen van gebruikers kunnen stelen. De app zou gebruikers kunnen misleiden om op een speciaal gemaakt pop-up venster te tappen, een 'toast view' genaamd, waarna de tap voor verschillende dreigingen te gebruiken is, aldus Trend Micro, dat dit tapjacking noemt.

Volgens het Japanse anti-virusbedrijf maakt tapjacking gebruik van een kwetsbaarheid in de interactie tussen Android en gebruikers. Het komt erop neer dat de toast view, die normaal uit een kleine pop-up bestaat en feedback over een actie van het systeem geeft, ook een groter deel van het scherm kan innemen.

Misbruik
De toast view geeft de tap van de gebruiker door aan het systeem, maar in het geval van een kwaadaardige app en toast view, kan die tap voor andere doeleinden worden gebruikt, zoals het downloaden van kwaadaardige apps, het doen van online aankopen, het abonneren op premiumdiensten en zelfs het wissen van het besturingssysteem.

Analist Yinfeng Qiu waarschuwt dat het probleem bij alle Android-toestellen aanwezig is die op oudere Gingerbread-versies draaien (voor versie 2.3).

Inmiddels heeft Google ook een oplossing aangeboden voor ontwikkelaars aangeboden. Aangezien dit betekent dat gebruikers hun OS of hun applicaties moeten updaten, zal de dreiging van 'tapjacking' nog niet zijn opgelost, merkt Qiu op.

Reacties (3)
17-12-2012, 16:26 door Rasalom
Ene Yinfeng Qiu komt met een concept dat in theorie misbruikt zou kunnen worden bij onoplettende gebruikers. Security.nl maakt er een app van die je taps al steelt. Je vraagt je af of deze site bewust bezig is haar geloofwaardigheid door het riool te spoelen.
17-12-2012, 19:31 door golem
Door Rasalom: Ene Yinfeng Qiu komt met een concept dat in theorie misbruikt zou kunnen worden bij onoplettende gebruikers. Security.nl maakt er een app van die je taps al steelt. Je vraagt je af of deze site bewust bezig is haar geloofwaardigheid door het riool te spoelen.

Heb je wel gelezen wat Yinfeng Qiu heeft geschreven ?
Het is niet security.nl die "er een app van maakt", maar Qiu zelf.
18-12-2012, 09:02 door Rasalom
Door golem: Heb je wel gelezen wat Yinfeng Qiu heeft geschreven ?
Dat heb ik. Jij ook?

Een proof of concept is iets anders dan een kwaadaardige app die in het wild voor komt. Dat laatste is wat de kop suggereert. Volslagen nonsense.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.