Nel contesto attuale, tutto può trasformarsi in una vulnerabilità digitale. È questo il caso di TapTrap, una nuova tecnica di attacco scoperta da un gruppo di ricercatori dell’Università di Bayreuth e della TU Wien. Si tratta di una variante avanzata del già noto tapjacking. TapTrap non si affida a metodi classici come la sovrapposizione di finestre o richieste di permessi invasivi. Al contrario, sfrutta un comportamento perfettamente lecito di Android: le animazioni di transizione. È proprio attraverso tali transizioni che l’attacco si insinua, approfittando del modo in cui il sistema operativo gestisce la trasparenza delle schermate per creare un’illusione ottica precisa e ingannevole. Grazie a un’animazione con opacità quasi nulla, un’app può avviare in background una schermata sensibile, come quella per autorizzare l’accesso alla fotocamera, senza che l’utente ne abbia la percezione.
Dispostivi Android a rischio per una nuova minaccia
La particolarità più inquietante di TapTrap risiede nella sua efficacia. L’interfaccia lanciata tramite tale sistema è attiva, riceve input e può contenere pulsanti funzionali. L’utente, però, vede ancora l’applicazione originaria, mentre in realtà sta interagendo con un altro strato nascosto. Basta un tocco sbagliato per attivare un permesso o avviare un’azione irreversibile.
Testando oltre 100.000 app scaricabili dal Google Play Store, è emerso che il 76% risulta vulnerabile a tale tecnica. La spiegazione risiede nella combinazione di quattro condizioni tecniche piuttosto comuni, che molte app soddisfano inconsapevolmente. Ovvero essere avviabili da terze applicazioni, condividere lo stesso contesto di esecuzione, non modificare le animazioni predefinite e reagire immediatamente all’input. Il test è stato condotto su versioni recenti del sistema operativo, come Android 15 e 16, dimostrando che il problema non è legato a vecchie build o a software obsoleto.
A tal proposito, Google ha dichiarato di essere già al corrente della problematica e di essere al lavoro per introdurre contromisure nei futuri aggiornamenti del sistema. L’azienda ha, inoltre, sottolineato il proprio impegno a far rispettare le regole di sicurezza del Play Store. In attesa di aggiornamenti ufficiali, esiste però una contromisura temporanea. Gli utenti più cauti possono scegliere di disattivare manualmente le animazioni di sistema. Una funzione disponibile nelle impostazioni per sviluppatori o accessibilità. Anche se non è una soluzione definitiva o user-friendly, può offrire una protezione immediata.