В Android 15 и 16 обнаружен баг, позволяющий приложениям скрытно нажимать кнопки от имени пользователя

В отличие от традиционных атак с наложением интерфейса, TapTrap использует почти полностью прозрачную активность, размещённую поверх доверенного приложения. Пользователь видит обычный интерфейс, но на самом деле взаимодействует с подменённым экраном, например, с запросом доступа к камере. Благодаря анимациям с минимальной прозрачностью и масштабированием, касания перехватываются и перенаправляются на скрытые кнопки вроде «Разрешить».

Анализ почти 100 000 приложений из Google Play показал, что 76% из них потенциально уязвимы — они используют активности, которые можно задействовать в атаке через TapTrap. Google уже признала наличие проблемы и пообещала устранить её в будущих обновлениях Android.