Một lỗ hổng Android mới có tên gọi TapTrap đã được phát hiện, cho phép các ứng dụng độc hại bỏ qua hoàn toàn hệ thống cấp phép cốt lõi của hệ điều hành mà không yêu cầu bất kỳ quyền đặc biệt nào từ người dùng. Cuộc tấn công tinh vi này khai thác các hiệu ứng chuyển đổi giữa các hoạt động (activity transition animations)—một tính năng tưởng chừng vô hại nhưng lại là thành phần cốt lõi của giao diện người dùng Android—để lừa người dùng một cách vô thức trong việc cấp các quyền nhạy cảm hoặc thực hiện các hành động có tính phá hoại trên thiết bị.
Khác biệt cơ bản so với các cuộc tấn công tapjacking truyền thống vốn dựa vào việc đặt các lớp phủ độc hại (malicious overlays) lên trên giao diện hợp pháp, TapTrap sử dụng một phương pháp tiếp cận hoàn toàn mới. Nó thao túng chính các hiệu ứng hoạt hình diễn ra khi hệ thống chuyển đổi giữa các activity của ứng dụng. Bằng cách này, cuộc tấn công tạo ra một sự không khớp nghiêm trọng giữa những gì người dùng nhìn thấy trên màn hình và trạng thái thực tế của ứng dụng, khiến cho việc phát hiện ra hành vi độc hại trở nên gần như không thể trong quá trình sử dụng thiết bị bình thường.
Cơ chế tấn công TapTrap
Sự nguy hiểm của cuộc tấn công TapTrap nằm ở khả năng thực thi mà không cần bất kỳ quyền truy cập nào. Điều này cho phép các ứng dụng độc hại xuất hiện hoàn toàn vô hại và đáng tin cậy trong mắt người dùng, vượt qua các cơ chế kiểm tra quyền truyền thống của Android. Về mặt kỹ thuật, TapTrap hoạt động bằng cách tận dụng các hiệu ứng chuyển đổi activity tùy chỉnh được thiết lập với giá trị độ trong suốt (opacity) cực kỳ thấp, chỉ khoảng 0.01 alpha. Độ trong suốt gần như bằng 0 này khiến cho các hộp thoại yêu cầu quyền nhạy cảm của hệ thống hoặc các yếu tố giao diện người dùng quan trọng trở nên gần như vô hình đối với mắt thường, nhưng chúng vẫn hoàn toàn có khả năng nhận các sự kiện chạm từ người dùng.
Kết quả là, khi người dùng thực hiện thao tác chạm vào những gì họ nghĩ là giao diện bình thường của ứng dụng độc hại, thực chất họ đang không chủ ý chạm vào các hộp thoại hệ thống ẩn hoặc các thành phần UI nhạy cảm. Điều này tạo ra một “cửa sổ tấn công” tiềm năng. Cửa sổ này có thể kéo dài tới 6 giây—một thời lượng đáng kể, được nhân đôi so với mức bình thường do một lỗi “off-by-one error” trong cơ chế hạn chế thời lượng hiệu ứng chuyển đổi của Android. Trong khoảng thời gian này, kẻ tấn công có thể dễ dàng lừa người dùng cấp các quyền truy cập quan trọng và nhạy cảm, bao gồm nhưng không giới hạn ở:
- Quyền truy cập vào camera của thiết bị.
- Quyền truy cập vào microphone để ghi âm.
- Quyền truy cập vào dữ liệu vị trí địa lý của người dùng.
- Quyền truy cập vào danh sách danh bạ.
- Quyền quản lý và đọc các thông báo của hệ thống.
Nghiêm trọng hơn, cuộc tấn công TapTrap còn có khả năng leo thang để chiếm đoạt đặc quyền quản trị thiết bị (device administrator privileges). Việc đạt được đặc quyền này mang lại cho kẻ tấn công khả năng kiểm soát hoàn toàn thiết bị, bao gồm cả việc thực hiện các hành động hủy diệt như khôi phục cài đặt gốc (factory resets) mà người dùng hoàn toàn không hề hay biết hoặc không thể ngăn chặn.
Khả năng bỏ qua phòng thủ và phạm vi ảnh hưởng rộng lớn
Điểm làm cho TapTrap trở nên đặc biệt nguy hiểm và khó chống lại là khả năng đáng kinh ngạc của nó trong việc bỏ qua tất cả các biện pháp giảm thiểu tapjacking hiện có đã được triển khai trong hệ điều hành Android. Các cơ chế phòng thủ hiện tại của Android, bao gồm cơ chế phát hiện lớp phủ (overlay detection mechanisms) được thiết kế để ngăn chặn các ứng dụng độc hại che giấu UI, các hạn chế đối với thông báo toast, và thậm chí cả tính năng ngăn chặn tapjacking trên toàn hệ thống được giới thiệu từ Android 12, đều tỏ ra không hiệu quả trước cuộc tấn công này. Lý do cốt lõi là các biện pháp phòng vệ này được xây dựng để nhắm mục tiêu cụ thể vào các cuộc tấn công dựa trên lớp phủ truyền thống, trong khi TapTrap lại khai thác một lỗ hổng trong chính cơ chế hoạt hình chuyển đổi activity, một con đường hoàn toàn mới.
Ngoài việc ảnh hưởng đến các thành phần hệ thống Android, các nhà nghiên cứu còn phát hiện ra rằng TapTrap có khả năng mở rộng phạm vi tấn công sang cả các trình duyệt web thông qua tính năng Custom Tabs. Trong quá trình phân tích 10 trình duyệt di động phổ biến nhất, họ đã phát hiện ra rằng 8 trong số đó dễ bị tấn công bỏ qua quyền tương tự. Hơn nữa, cuộc tấn công này còn cho phép thực hiện các cuộc tấn công web clickjacking truyền thống, mặc dù các trình duyệt đã triển khai các biện pháp bảo vệ như tiêu đề X-Frame-Options. Điều này cho thấy TapTrap không chỉ là một mối đe dọa cục bộ đối với ứng dụng mà còn có thể ảnh hưởng đến trải nghiệm duyệt web của người dùng.
Quá trình phát hiện và tình trạng hiện tại
Nghiên cứu sâu rộng được thực hiện bởi các nhà nghiên cứu từ TU Wien đã bao gồm việc phân tích 99.705 ứng dụng có sẵn trên Google Play Store. Kết quả đáng báo động cho thấy 76.3% trong số các ứng dụng này dễ bị tấn công bởi phương pháp TapTrap. Để đánh giá mức độ khó phát hiện của cuộc tấn công trong môi trường thực tế, một nghiên cứu người dùng đã được tiến hành với sự tham gia của 20 người. Kết quả của nghiên cứu này đặc biệt đáng lo ngại: tất cả những người tham gia đều không phát hiện được ít nhất một biến thể tấn công, ngay cả khi họ đã được cảnh báo rõ ràng trước đó về khả năng bị tấn công. Hơn nữa, chỉ 21% người dùng không được thông báo trước nhận thấy các chỉ báo bảo mật quen thuộc, chẳng hạn như thông báo truy cập camera, chứng minh khả năng tàng hình cực kỳ cao của cuộc tấn công.
Nhóm nghiên cứu đã thể hiện trách nhiệm cao trong việc công bố chi tiết phát hiện của mình cho Đội ngũ Bảo mật Android của Google và các nhà cung cấp trình duyệt bị ảnh hưởng vào tháng 10 năm 2024. Lỗ hổng này đã được gán hai mã CVE. Để ghi nhận đóng góp quan trọng này, Chrome đã trao cho các nhà nghiên cứu khoản tiền thưởng lỗi (bug bounty) trị giá 10.000 USD.
Mặc dù một số trình duyệt như Chrome và Firefox đã chủ động triển khai các bản vá bằng cách sử dụng phương thức onEnterAnimationComplete để khắc phục lỗ hổng trong môi trường trình duyệt, hệ điều hành Android 15 vẫn được xác nhận là dễ bị tổn thương tính đến thời điểm tháng 6 năm 2025. Đáng lo ngại hơn, chưa có một mốc thời gian cụ thể nào được cung cấp cho việc triển khai một bản sửa lỗi cấp hệ thống từ Google.
Điều đáng mừng là, qua phân tích gần 100.000 ứng dụng, các nhà nghiên cứu không tìm thấy bất kỳ bằng chứng nào về việc TapTrap đang bị khai thác trong thực tế (in the wild). Điều này cho thấy đây có thể là một vector tấn công hoàn toàn mới, chưa từng được khám phá và lạm dụng trước đây, mang lại cơ hội để phòng ngừa trước khi nó trở thành một mối đe dọa rộng rãi.
Các giải pháp đề xuất để giảm thiểu TapTrap
Để giải quyết lỗ hổng TapTrap một cách hiệu quả, các nhà nghiên cứu đã đưa ra một số giải pháp mang tính hệ thống. Những đề xuất này tập trung vào việc ngăn chặn kẻ tấn công lợi dụng các tính năng hợp pháp của Android. Các giải pháp chính bao gồm:
- Chặn các sự kiện chạm (touch events) trong những khoảng thời gian mà các hiệu ứng chuyển đổi activity đang diễn ra với độ trong suốt cực thấp. Điều này sẽ vô hiệu hóa khả năng người dùng chạm vào các hộp thoại hoặc phần tử UI ẩn.
- Hạn chế các yếu tố phóng to (zoom factors) được áp dụng trong các chuyển đổi activity. Việc kiểm soát này giúp ngăn chặn việc kẻ tấn công tạo ra các khu vực chạm lớn hơn hoặc biến dạng để lừa người dùng.
Cụ thể hơn, họ khuyến nghị triển khai một ngưỡng độ trong suốt (opacity threshold) tối thiểu là 0.2 (tức 20% rõ ràng) cho các hiệu ứng chuyển đổi và một yếu tố phóng to tối đa (maximum zoom factor) là 400%. Việc áp dụng các ngưỡng này cho các hiệu ứng chuyển đổi hợp lệ sẽ giúp duy trì trải nghiệm người dùng mượt mà trong khi ngăn chặn hiệu quả khả năng lạm dụng tính năng này cho mục đích độc hại.
Việc phát hiện ra TapTrap đã làm nổi bật một khoảng trống cơ bản và nghiêm trọng trong mô hình bảo mật của Android. Lỗ hổng này không dựa vào việc tiêm mã độc hay khai thác lỗi phần mềm truyền thống, mà thay vào đó, nó khai thác chính các chức năng hệ thống hợp pháp theo một cách không lường trước được. Điều này khiến cho việc phát hiện và ngăn chặn TapTrap trở nên cực kỳ khó khăn với các phương pháp tiếp cận bảo mật hiện tại, đòi hỏi một sự xem xét lại và nâng cấp sâu sắc hơn trong cách Android quản lý các tương tác người dùng và hiệu ứng giao diện.
