idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Science Video Project
idw-Abo

idw-News App:

AppStore

Google Play Store



Instance:
Share on: 
07/17/2025 10:14

TU Wien deckt Android-Sicherheitslücke auf

Dr. Florian Aigner PR und Marketing
Technische Universität Wien

    Mit einer bisher unentdeckten Attacke können betrügerische Apps die Kontrolle über das Handy an sich reißen – aber die Lücke kann geschlossen werden.

    Was wir am Handybildschirm sehen, muss nicht immer das sein, was wir tatsächlich bedienen. Das zeigt ein Forschungsteam der TU Wien, bestehend aus Philipp Beer, Sebastian Roth, Marco Squarcina, und Martina Lindorfer: Bei Android-Handys kann eine unsichtbare App im Vordergrund aktiv sein – und genau das ist ein Sicherheitsproblem. Als User bedient man dann eine App, die man gar nicht sieht, und kann auf diese Weise dazu gebracht werden, ungewollte Aktionen zu setzen – etwa einer böswilligen App bestimmte Rechte zu übertragen, oder sogar Daten zu löschen.

    Mit dem Sicherheitsteam von Android ist die TU-Forschungsgruppe bereits in Kontakt. Die neu entdeckte Sicherheitslücke wird nun bei der weltweit führenden Sicherheitskonferenz USENIX in Seattle (USA) präsentiert.

    Harmloses Spiel mit bösen Folgen

    Auf einem Smartphone können mehrere Apps gleichzeitig aktiv sein. Normalerweise ist eine davon im Vordergrund sichtbar, mit ihr interagiert man, wenn man den Bildschirm antippt. „Apps können allerdings auch andere Apps starten – und dabei Animationen nutzen, etwa ein langsames Einblenden oder Hereingleiten“, erklärt Philipp Beer von der Security and Privacy Group der TU Wien (Institut für Logic and Computation. „Genau das kann man missbrauchen.“

    Eine betrügerische App kann unbemerkt eine andere App starten, sie aber transparent anzeigen. Sie befindet sich nun somit im Vordergrund und kann mit Fingertippen gesteuert werden – aber man sieht sie nicht.

    „Wir haben das ausprobiert, indem wir ein simples Spiel erstellt haben, bei dem man Punkte sammelt, indem man auf dem Bildschirm kleine Käfer antippt“, berichtet Philipp Beer. „Das Spiel öffnet dann aber eine andere App, zum Beispiel einen Browser. Wir können nun nach Belieben unsere Käfer aus dem Spiel so platzieren, dass genau die Position am Bildschirm angetippt wird, die wir wollen. Man hat das Gefühl, immer noch das Käfer-Spiel zu spielen, aber in Wahrheit bedient man nun die neu gestartete App, die man gar nicht sieht.“

    Das Forschungsteam ließ das Käfer-Spiel von zwanzig Versuchspersonen testen, und tatsächlich gelang es auf diese Weise, unbemerkt an verschiedene Berechtigungen zu kommen – etwa Zugriff auf die Kamera des Smartphones zu erhalten. „Theoretisch könnte man auf diese Weise auch eine Banking-App starten, oder auch alle Daten auf dem Handy löschen“, sagt Beer.

    Bisher keine Übeltäter

    Das Team der TU Wien bewies damit also, dass die Attacke funktioniert. Aber wird sie tatsächlich verwendet? „Wir haben rund 100.000 Apps aus dem Play Store untersucht und dabei keine gefunden, die diese Lücke ausnützt“, sagt Philipp Beer. „Wir hoffen daher, dass die Lücke bisher noch keinen echten Schaden angerichtet hat – aber natürlich muss das Problem behoben werden.“

    Das Team setzte sich daher bereits mit dem Android-Entwicklungsteam in Verbindung, technisch wäre es möglich, die Lücke zu schließen. Die Hersteller von Firefox und Google Chrome wurden ebenfalls kontaktiert – beide haben die Lücke für ihre Browser bereits geschlossen. Auch GrapheneOS, ein Android-basiertes Betriebssystem, das speziell auf Maximierung der Sicherheit ausgelegt ist, hat das Problem bereits gelöst.

    „Prinzipiell sollte man nie Apps installieren, deren Herkunft nicht vertrauenswürdig erscheint“, sagt Philipp Beer. „Wenn auf die Kamera oder das Mikrophon zugegriffen wird, ist das oft auch an Symbolen in der Statusleiste sichtbar, darauf sollte man achten.“

    Wer ganz sicher gehen will, kann App-Animationen überhaupt deaktivieren (in den Einstellungen unter „Bedienungshilfen“, „Farbe und Bewegung“.)

    Das Team hat zusätzliche Materialien auf einer eigenen Webseite publiziert, inklusive ein Demonstrationsvideo und das vollständige Paper:
    https://taptrap.click

    Die Forschung wurde vom Wiener Wissenschafts-, Forschungs- und Technologiefonds (WWTF) gefördert: https://www.wwtf.at/funding/programmes/ict/ICT22-060/.


    Contact for scientific information:

    Dipl.-Ing. Philipp Beer
    Institut für Logic and Computation
    Technische Universität Wien
    philipp.beer@student.tuwien.ac.at

    Dr. Marco Squarcina
    Institut für Logic and Computation
    Technische Universität Wien
    +43 1 58801 192607
    marco.squarcina@tuwien.ac.at


    Original publication:

    Beer et al., TapTrap: Animation-Driven Tapjacking on Android, USENIX Security Symposium 2025.


    More information:

    https://taptrap.click Das Team hat zusätzliche Materialien auf einer eigenen Webseite publiziert, inklusive ein Demonstrationsvideo und das vollständige Paper


    Images

    Ein scheinbar harmloses Spiel, das gefährlich werden kann
    Ein scheinbar harmloses Spiel, das gefährlich werden kann
    Source: TU Wien
    Copyright: TU Wien


    Criteria of this press release:
    Journalists
    Information technology, Media and communication sciences
    transregional, national
    Research results
    German


     

    Ein scheinbar harmloses Spiel, das gefährlich werden kann


    For download

    x

    Help

    Search / advanced search of the idw archives
    Combination of search terms

    You can combine search terms with and, or and/or not, e.g. Philo not logy.

    Brackets

    You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).

    Phrases

    Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.

    Selection criteria

    You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).

    If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).