Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/07/2015
Tapjacking: estàs realment usant eixa app?
Per mitjà d’esta tècnica és possible enganyar l’usuari perquè crega que està realitzant una acció quan realment està realitzant-ne una altra completament distinta.
El tapjacking consistix a segrestar les pulsacions de l’usuari en un telèfon intel·ligent, de manera que l’usuari realitze certes accions sense adonar-se’n. Estes accions podrien ser, per exemple, instal·lar aplicacions no desitjades (de pagament, o nou programari maliciós, per exemple), el robatori de qualsevol tipus d’informació, o fins i tot prendre el control de forma remota del terminal.
En Android el tapjacking és possible gràcies a la utilització de components de desenvolupament i una combinació de permisos que es poden atorgar a les aplicacions i que permeten que una aplicació en primer pla no permeta que es realitzen pulsacions sobre esta, i passe les pulsacions a una altra aplicació que s’està executant per sota, oculta a la vista de l’usuari.
Com moltes vegades, la utilització d’estos components de desenvolupament, i també els permisos d’aplicació associats, pot servir tant a fins lícits com il·lícits, així que cal extremar la precaució per a evitar ser víctima dels malfactors.
Podem llegir més sobre este tema i veure alguns exemples d’este comportament en WeLiveSecurity.