Zum Inhalt springen
Technik. Tests. Trends.
Profil
VG Wort Pixel

Updates unterwegs

TapTrap: Neue Angriffstechnik auf Android-Geräten

Android-Anwender werden künftig noch vorsichtiger bei der Bedienung ihrer Geräte sein müssen: Eine neue Angriffstechnik namens TapTrap nutzt transparente Animationen, um Nutzer unbemerkt zur Bestätigung kritischer Berechtigungen zu verleiten.

android sicherheit
Android im Visier: Nutzer müssen sich auf eine neue Sicherheitsbedrohung einstellen.
© Google / Montage: connect

Sicherheitsforscher der TU Wien und der Universität Bayreuth haben eine raffinierte Angriffsmethode entwickelt, die sich der natürlichen Animationsfähigkeiten von Android-Geräten bedient. Im Gegensatz zu herkömmlichen "Tapjacking"-Angriffen, die auf sichtbare Overlay-Fenster angewiese...

Sicherheitsforscher der TU Wien und der Universität Bayreuth haben eine raffinierte Angriffsmethode entwickelt, die sich der natürlichen Animationsfähigkeiten von Android-Geräten bedient. Im Gegensatz zu herkömmlichen "Tapjacking"-Angriffen, die auf sichtbare Overlay-Fenster angewiesen sind, nutzt "TapTrap" die systemeigenen Übergangsanimationen zwischen verschiedenen App-Ansichten.

Die Funktionsweise basiert auf der Manipulation von Activity-Transition-Animationen durch APIs wie overridePendingTransition() und ActivityOptions.makeCustomAnimation(). Angreifer können dabei die Transparenz von Einblendungen auf nahezu null reduzieren – beispielsweise auf einen Alpha-Wert von 0,01 –, wodurch kritische Systemdialoge praktisch unsichtbar werden.

Während der Nutzer meint, mit der ursprünglichen App zu interagieren, werden seine Eingaben tatsächlich an die verborgene, transparente Aktivität weitergeleitet. Diese Technik ermöglicht es, dass sich Berechtigungsanfragen oder andere sensible Systemdialoge über die sichtbare Benutzeroberfläche legen, ohne dass der Anwender dies bemerkt.

Besonders problematisch ist ein Programmfehler im Android-Animationssystem: Statt der vorgesehenen drei Sekunden können Animationen aufgrund eines Off-by-One-Fehlers in der Datei Animation.java bis zu sechs Sekunden dauern. Dies verdoppelt praktisch das Zeitfenster, in dem Angreifer ihre Täuschung ausführen können.

Webbrowser haben bereits reagiert: Firefox erhielt mit der CVE-2025-1939 einen entsprechenden Patch, während Chrome und andere Chromium-basierte Browser durch die CVE-2025-3067 geschützt sind. Diese Fixes nutzen die onEnterAnimationComplete-Methode, um Eingaben während Animationen zu blockieren. Deutlich problematischer ist die Situation auf Android-Systemebene. Sowohl Android 15 als auch die neueste Version Android 16 bleiben weiterhin anfällig für TapTrap-Angriffe. Google kündigte gegenüber Bleeping Computer zwar an, das Problem in einem zukünftigen Update zu beheben, nannte jedoch keinen konkreten Zeitplan.

Android 16
Google-Betriebssystem Das ist neu in Android 16
Android 16
Android 16 Update-Liste Android 16: Diese Smartphones bekommen das Update

Autor: Jusuf Hatic • 11.7.2025

Smartphone gesucht? Nutzen Sie unseren Handyvergleich! Hier vergleichen.
Mehr zum Thema
Malware / Virus (Smartphone Sicherheit, Symbolbild)
Android-Malware "Godfather": Neue Virtualisierungs-Technik bedroht Banking-Apps
android logo
Android Security Bulletin Juni 2025 Sicherheitslücken in Android: Nutzer sollten Updates installieren
Android Sicherheitsupdate
Kommendes Update Zur Sicherheit: Android-Geräte starten bald alle drei Tage neu
Android Update
Android Security Bulletin April 2025 Android: Google schließt über 60 Sicherheitslücken
Weiter zur Startseite