Представьте: вы играете на телефоне, ловите пальцем жучков на экране, а на самом деле в этот момент ваш палец подтверждает доступ к камере или отправляет деньги мошеннику. Звучит как сюжет фантастического триллера, но это реальная уязвимость, которую обнаружили исследователи из Венского технического университета.

Команда специалистов по безопасности — Филипп Бер, Себастьян Рот, Марко Скуарчина и Мартина Линдорфер — выяснила, что на Android-устройствах может работать невидимое приложение. Вы думаете, что управляете одной программой, например, безобидной игрой, а в это время на переднем плане тихо висит прозрачное окно браузера или банковского приложения. Вы продолжаете тыкать в экран, думая, что набираете очки, а на деле ваш каждый тап совершает реальные действия в невидимом интерфейсе.

Как это возможно? Все дело в том, как устроена многозадачность. Одно приложение может запустить другое и красиво его «вывести на сцену» с помощью плавной анимации — например, медленного затемнения или сдвига. Злоумышленники могут подменить этот процесс: они запускают второе приложение, но делают его полностью прозрачным. Оно остается невидимым, но при этом активно и готово к вашим командам.

Исследователи провели эксперимент: создали игру, где нужно ловить жучков. Пока двадцать добровольцев играли, приложение незаметно открывало прозрачное окно с запросом на доступ к камере или микрофону. Жучков же специально размещали так, чтобы палец пользователя тыкал точно в кнопку «Разрешить». Участники эксперимента не заметили подмены и массово выдавали права доступа.

Филипп Бер поясняет:

Теоретически таким методом можно запустить что угодно — от перевода денег до полной очистки памяти телефона. Пользователь будет уверен, что просто играет.

Пока что команда не нашла следов использования этой уязвимости в реальном мире, проверив около 100 000 приложений из Google Play. Но дыру нужно закрыть, и разработчики Android уже в курсе. Браузеры Firefox и Chrome, а также безопасная ОС GrapheneOS уже выпустили заплатки.

Что делать, пока обновление не пришло

• Внимательно смотрите на статус-бар: появление значка камеры или микрофона без причины — тревожный звоночек.
• Устанавливайте приложения только из проверенных источников.
• Будьте внимательны, когда играете в простые игры — именно они могут стать приманкой.

Как эксперт, я вижу главную пользу этого исследования в его опережающем характере. Оно не просто фиксирует существующую угрозу, а проактивно выявляет фундаментальный изъян в модели взаимодействия между приложениями и пользователем.

• Упреждающее устранение уязвимости: Google и производители браузеров уже получили конкретные данные и приступили к исправлению до того, как этой лазейкой воспользовались киберпреступники. Это спасет миллионы пользователей от потенциальных атак.
• Смена парадигмы безопасности: Исследование наглядно демонстрирует, что угрозы эволюционируют от грубого взлома к тонким манипуляциям человеческим восприятием. Это заставит инженеров пересмотреть принципы построения доверенной среды (Trusted UI) в операционных системах, сделав акцент на защите от подобных «интерфейсных» атак.
• Повышение осведомленности: Оно учит пользователей не слепо доверять тому, что происходит на экране, а обращать внимание на косвенные признаки (иконки в статус-баре), формируя более осознанное и безопасное поведение.

Основное критическое замечание к исследованию касается его практической значимости на текущий момент. Уязвимость, безусловно, реальна и элегантно доказана в лабораторных условиях, однако ее масштабное применение в реальных атаках сопряжено с серьезными сложностями. Для успешной атаки злоумышленнику необходимо обойти множество других защитных механизмов Android (изоляция приложений, проверка прав во время выполнения, пользовательские предупреждения), а также убедить пользователя установить изначально вредоносное приложение-посредник. Факт того, что среди 100 000 проверенных приложений не найдено ни одного использующего эту технику, говорит о том, что ее реализация нетривиальна и, возможно, не является приоритетной для киберпреступников, у которых есть и более простые методы социальной инженерии. Таким образом, хотя работа и раскрывает важную теоретическую проблему, ее непосредственный вклад в текущую безопасность экосистемы Android может быть несколько преувеличен.

Ранее мы опубликовали 10 трендов в сфере кибербезопасности.