สั่งซื้อโทรกลับ

TapTrap: การโจมตีรูปแบบใหม่บน Android ที่ซ่อน UI หลอกผู้ใช้งานโดยไม่รู้ตัว

ในยุคที่สมาร์ตโฟนเป็นส่วนหนึ่งของชีวิตประจำวัน ภัยคุกคามทางไซเบอร์ก็ยิ่งซับซ้อนขึ้น ล่าสุดมีการค้นพบการโจมตีรูปแบบใหม่บน Android ที่เรียกว่า TapTrap ซึ่งเป็นกลวิธีที่แฮ็กเกอร์ใช้หลอกให้ผู้ใช้งานกดปุ่มสำคัญบนหน้าจอ โดยที่ผู้ใช้แทบไม่รู้ตัวเลยว่ากำลังถูกหลอก

TapTrap คืออะไร?

TapTrap ถูกพัฒนาโดยทีมนักวิจัยจาก TU Wien และ University of Bayreuth ซึ่งจะนำเสนอในงาน USENIX Security Symposium จัดเป็นรูปแบบหนึ่งของการโจมตีแบบ tapjacking หรือการหลอกให้ผู้ใช้กดโดยไม่ตั้งใจ แต่สิ่งที่ทำให้ TapTrap ต่างจากวิธีเดิมๆคือ ไม่ต้องใช้หน้าจอซ้อนทับ (overlay) อีกต่อไป

กลไกการทำงาน: ภาพลวงตาที่มองไม่เห็น

หัวใจของการโจมตี TapTrap คือการใช้ประโยชน์จากวิธีที่ Android จัดการการเปลี่ยนกิจกรรม (activity transitions) ด้วย แอนิเมชันที่กำหนดเอง แอปพลิเคชันที่เป็นอันตรายจะเปิดหน้าจอระบบที่ละเอียดอ่อน (เช่น ข้อความแจ้งการอนุญาต หรือการตั้งค่า) โดยใช้คำสั่ง startActivity() ร่วมกับแอนิเมชันที่มีความทึบแสงต่ำมาก (เช่น ค่า Alpha เพียง 0.01) ทำให้หน้าจอดังกล่าว แทบจะโปร่งใสจนมองไม่เห็น

ผู้ใช้งานจะยังคงเห็นหน้าจอของแอปพลิเคชันที่ใช้งานอยู่ตามปกติ แต่แท้จริงแล้วมี หน้าจอโปร่งใสที่มองไม่เห็นซ้อนทับอยู่ด้านบน ซึ่งพร้อมรับการแตะทั้งหมด ด้วยวิธีนี้ ผู้ใช้งานอาจ เผลอแตะปุ่ม "อนุญาต", "ล้างข้อมูล" หรือดำเนินการอื่นที่มีความเสี่ยงโดยไม่รู้ตัว ตัวอย่างที่นักวิจัยสาธิตคือ แอปเกมสามารถใช้ TapTrap เพื่อหลอกให้ผู้ใช้อนุญาตสิทธิ์กล้องให้กับเว็บไซต์ใน Chrome ได้อย่างแนบเนียน

ความเสี่ยงและการแพร่กระจายที่น่าตกใจ

สิ่งที่น่ากังวลอย่างยิ่งคือ TapTrap สามารถใช้งานได้แม้บน Android 15 และ Android 16 ซึ่งเป็นเวอร์ชันล่าสุด โดยทีมนักวิจัยได้ทดสอบกับ Google Pixel 8a ที่ใช้ Android 16 และยืนยันว่าช่องโหว่นี้ยังคงอยู่ นอกจากนี้ GrapheneOS ซึ่งเป็นระบบปฏิบัติการที่เน้นความปลอดภัยก็ออกมายืนยันและเตรียมออกแพตช์แก้ไขในเร็วๆ นี้

จากการวิเคราะห์แอปพลิเคชันกว่า 100,000 รายการใน Google Play Store พบว่า 76% ของแอปพลิเคชันเหล่านั้นมีช่องโหว่ ที่สามารถนำไปใช้โจมตีแบบ TapTrap ได้ เงื่อนไขหลักคือ:

  • สามารถเปิดใช้งานโดยแอปพลิเคชันอื่นได้
  • ทำงานใน task เดียวกันกับแอปพลิเคชันที่เรียก
  • ไม่ได้มีการเขียนทับแอนิเมชันการเปลี่ยนผ่าน
  • ไม่หน่วงเวลาการตอบสนองต่ออินพุตของผู้ใช้งาน

เนื่องจาก Android เปิดใช้งานแอนิเมชันเป็นค่าเริ่มต้น ทำให้อุปกรณ์จำนวนมากตกอยู่ในความเสี่ยง

การรับมือและการป้องกันจาก Google และผู้ใช้งาน

Google ได้ยืนยันว่ารับทราบถึงงานวิจัยนี้แล้ว และจะดำเนินการแก้ไขช่องโหว่นี้ในการอัปเดตในอนาคต Google Play ก็มีนโยบายที่เข้มงวดในการปกป้องผู้ใช้งาน และจะดำเนินการกับแอปพลิเคชันที่ละเมิดนโยบาย

ในระหว่างที่รอการแก้ไขอย่างเป็นทางการ ผู้ใช้งานควรเพิ่มความระมัดระวังเป็นพิเศษเพื่อลดความเสี่ยง:

  • อัปเดต Android ให้เป็นเวอร์ชันล่าสุดเสมอ: เพื่อรับการแก้ไขช่องโหว่ในอนาคต
  • หลีกเลี่ยงการติดตั้งแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ: ควรดาวน์โหลดแอปพลิเคชันจาก Google Play Store หรือแหล่งที่มาที่เป็นทางการเท่านั้น
  • สังเกตพฤติกรรมที่ผิดปกติ: หากมีหน้าจอขอสิทธิ์ปรากฏขึ้นอย่างไม่คาดคิด หรือแอปพลิเคชันมีพฤติกรรมที่แปลกไปจากปกติ (เช่น หน้าจอสลัว, กระพริบ) ควรเพิ่มความระมัดระวัง
  • ปิดแอนิเมชันใน "Developer Options" หรือ "Accessibility Settings": หากผู้ใช้มีความรู้ความเข้าใจในการตั้งค่านี้ การปิดแอนิเมชันอาจช่วยลดความเสี่ยงได้
  • หลีกเลี่ยงการแตะที่ไม่ตั้งใจ: ควรตรวจสอบข้อความและตัวเลือกต่างๆ บนหน้าจออย่างละเอียดก่อนที่จะแตะปุ่ม "อนุญาต" หรือ "ตกลง"

TapTrap เป็นอีกหนึ่งตัวอย่างของการโจมตีที่อาศัย ช่องโหว่จากการออกแบบ (design flaw) ของระบบ แทนที่จะเป็นบั๊กทั่วไป ซึ่งเน้นย้ำถึงความจำเป็นที่ผู้ใช้งานจะต้องตระหนักและติดตามข่าวสารด้านความปลอดภัยทางไซเบอร์อย่างต่อเนื่อง เพื่อปกป้องข้อมูลส่วนบุคคลและอุปกรณ์จากการคุกคามรูปแบบใหม่ที่อาจเกิดขึ้นได้ตลอดเวลา

_____________________________________________________________________________________________________________________________________________________________________

ที่มา: BleepingComputer.com, "New Android TapTrap attack fools users with invisible UI trick"