Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/07/2015
Tapjacking: ¿estás realmente usando esa app?
Mediante esta técnica es posible engañar al usuario para que crea que está realizando una acción cuando realmente está realizando otra completamente distinta.
El tapjacking consiste en "secuestrar" las pulsaciones del usuario en un smartphone, de forma que el usuario realice ciertas acciones sin darse cuenta. Estas acciones podrían ser, por ejemplo, instalar aplicaciones no deseadas (de pago, o nuevo malware, por ejemplo), el robo de cualquier tipo de información, o incluso tomar el control de forma remota del terminal.
En Android el tapjacking es posible gracias a la utilización de componentes de desarrollo y una combinación de permisos que se pueden otorgar a las aplicaciones y que permiten que una aplicación en primer plano no permita que se realicen pulsaciones sobre ella, y pase las pulsaciones a otra aplicación que se está ejecutando por debajo, oculta a la vista del usuario.
Como en muchas ocasiones, la utilización de estos componentes de desarrollo, así como los permisos de aplicación asociados, puede servir tanto a fines lícitos como ilícitos, así que hay que extremar la precaución para evitar ser víctima de los malhechores.
Podemos leer más sobre este tema y ver algunos ejemplos de este comportamiento en WeLiveSecurity.