TapJacking Android Manfaat Animasi UI Bypass Izin Pengguna

TapJacking Android Manfaat Animasi UI Bypass Izin Pengguna – Sebuah teknik tapjacking baru bernama TapTrap telah ditemukan, yang mampu mengeksploitasi animasi antarmuka pengguna (UI) di Android.

Teknik ini dapat melewati sistem izin Android, memungkinkan akses ke data sensitif, atau bahkan menipu pengguna untuk melakukan tindakan destruktif, seperti menghapus data perangkat.

Berbeda dengan teknik tapjacking tradisional yang berbasis overlay (lapisan antarmuka di atas aplikasi lain), serangan TapTrap tetap berfungsi bahkan pada aplikasi tanpa izin khusus (zero-permission apps).

Teknik ini meluncurkan aktivitas transparan yang tidak berbahaya di atas aplikasi berbahaya, perilaku yang masih belum dimitigasi di Android 15 dan Android 16.

TapTrap dikembangkan oleh tim peneliti keamanan dari TU Wien dan University of Bayreuth (Philipp Beer, Marco Squarcina, Sebastian Roth, Martina Lindorfer). 

Cara Kerja TapTrap

TapTrap menyalahgunakan cara Android menangani transisi aktivitas dengan animasi kustom untuk menciptakan ketidaksesuaian visual antara apa yang dilihat pengguna dan apa yang sebenarnya didaftarkan oleh perangkat.

1. Aplikasi Berbahaya Diluncurkan

Sebuah aplikasi berbahaya yang terinstal di perangkat target akan meluncurkan layar sistem sensitif misalnya: prompt izin, pengaturan sistem, dll.

Dari aplikasi lain menggunakan fungsi startActivity() dengan animasi kustom yang memiliki opasitas (transparansi) rendah.

2. Transparansi Nyaris Penuh

Kunci dari TapTrap adalah menggunakan animasi yang membuat aktivitas target nyaris tidak terlihat, kata para peneliti.

Hal ini dicapai dengan mendefinisikan animasi kustom yang mengatur opasitas awal dan akhir (alpha) ke nilai yang sangat rendah, seperti 0,01. Ini membuat aktivitas berbahaya atau berisiko tersebut hampir sepenuhnya transparan.

3. Zoom Opsional

Secara opsional, animasi skala (scale animation) dapat diterapkan untuk memperbesar elemen UI tertentu (misalnya, tombol “Izinkan” pada prompt izin), membuatnya memenuhi layar penuh dan meningkatkan kemungkinan pengguna akan mengetuknya.

4. Penipuan Interaksi Pengguna

Meskipun prompt yang diluncurkan secara transparan tersebut menerima semua event sentuhan pengguna, yang dilihat pengguna hanyalah aplikasi yang berada di bawahnya.

Yang menampilkan elemen UI-nya sendiri. Pengguna berpikir mereka sedang berinteraksi dengan aplikasi yang tidak berbahaya.

Padahal sebenarnya mereka mengetuk posisi layar yang sesuai dengan tindakan berisiko pada prompt yang nyaris tidak terlihat, seperti tombol “Izinkan” atau “Otorisasi”.

Sebuah video yang dirilis oleh para peneliti menunjukkan bagaimana sebuah aplikasi game dapat memanfaatkan TapTrap untuk mengaktifkan akses kamera bagi sebuah situs web melalui browser Chrome, tanpa disadari pengguna.

Risiko dan Paparan

Untuk memeriksa apakah TapTrap dapat bekerja dengan aplikasi di Play Store, para peneliti menganalisis hampir 100.000 aplikasi.

Mereka menemukan bahwa 76% di antaranya rentan terhadap TapTrap karena menyertakan layar (activity) yang memenuhi kondisi berikut:

• Dapat diluncurkan oleh aplikasi lain.
• Berjalan dalam task yang sama dengan aplikasi pemanggil.
• Tidak menimpa animasi transisi.
• Tidak menunggu animasi selesai sebelum bereaksi terhadap input pengguna.

Para peneliti menyatakan bahwa animasi diaktifkan pada versi Android terbaru kecuali pengguna menonaktifkannya dari opsi pengembang atau pengaturan aksesibilitas, yang membuat perangkat rentan terhadap serangan TapTrap.

Saat mengembangkan serangan, para peneliti menggunakan Android 15, versi terbaru pada saat itu. Namun, setelah Android 16 dirilis, mereka juga melakukan beberapa pengujian dan mengonfirmasi bahwa masalah ini masih belum dimitigasi pada Google Pixel 8a yang menjalankan Android 16.

GrapheneOS, sistem operasi seluler yang berfokus pada privasi dan keamanan, mengonfirmasi bahwa Android 16 terbaru rentan terhadap teknik TapTrap ini.

Saran Keamanan untuk Pengguna Android

Meskipun Google berupaya keras untuk mengatasi kerentanan ini, sebagai pengguna, penting bagi kita untuk tetap waspada dan proaktif:

1. Berhati-hatilah dengan Aplikasi yang Diinstal: Hanya unduh aplikasi dari sumber tepercaya seperti Google Play Store. Meskipun 76% aplikasi di Play Store berpotensi rentan terhadap TapTrap, mengunduh dari sumber tidak resmi dapat meningkatkan risiko Anda terhadap malware yang lebih jelas.
2. Perhatikan Interaksi UI: Jika Anda merasa ada sesuatu yang aneh saat mengetuk layar, seperti delay yang tidak biasa atau respons yang tidak sesuai dengan apa yang Anda lihat di UI aplikasi, segera hentikan interaksi dan tutup aplikasi.
3. Tinjau Izin Aplikasi: Periksa secara berkala izin yang diberikan kepada aplikasi. Meskipun TapTrap dapat mem-bypass prompt izin, meninjau kembali izin yang sudah diberikan dapat membantu mengidentifikasi aplikasi yang memiliki akses berlebihan.
4. Nonaktifkan Animasi Transisi (Jika Memungkinkan dan Diperlukan): Ini adalah mitigasi sementara yang bisa Anda pertimbangkan, meskipun mungkin mengurangi pengalaman pengguna. Anda bisa menonaktifkan animasi di Developer Options atau pengaturan aksesibilitas, namun ini mungkin tidak praktis bagi kebanyakan pengguna.
5. Perbarui Sistem Android Anda: Selalu pastikan perangkat Android Anda menjalankan versi firmware terbaru yang tersedia. Meskipun TapTrap masih belum dimitigasi di Android 15 dan 16 saat ini, pembaruan di masa mendatang dari Google diharapkan akan mengatasi masalah ini.
6. Gunakan Solusi Keamanan: Instal dan perbarui aplikasi keamanan seluler yang terkemuka untuk membantu mendeteksi dan memblokir aplikasi berbahaya.

Teknik TapTrap menyoroti bahwa kerentanan canggih masih dapat muncul dan menyiasati mekanisme keamanan yang ada. Kewaspadaan pengguna dan pembaruan sistem yang rutin adalah kunci untuk tetap aman di tengah lanskap ancaman siber yang terus berkembang.

Demikian informasi seputar dunia siber mengenai TapJacking Android Manfaat Animasi UI Bypass Izin Pengguna, semoga dapat bermanfaat.

Sumber berita:

WeLiveSecurity