Información Básica

Tapjacking es un ataque donde una aplicación maliciosa se lanza y se posiciona encima de una aplicación víctima. Una vez que oculta visualmente la aplicación víctima, su interfaz de usuario está diseñada de tal manera que engaña al usuario para interactuar con ella, mientras pasa la interacción a la aplicación víctima. En efecto, ciega al usuario para que no sepa que en realidad está realizando acciones en la aplicación víctima.

Detección

Para detectar aplicaciones vulnerables a este ataque, debes buscar actividades exportadas en el manifiesto de Android (nota que una actividad con un intent-filter se exporta automáticamente por defecto). Una vez que hayas encontrado las actividades exportadas, verifica si requieren algún permiso. Esto se debe a que la aplicación maliciosa también necesitará ese permiso.

Protección

Android 12 (API 31,32) y superior

Según esta fuente, los ataques de tapjacking son automáticamente prevenidos por Android desde Android 12 (API 31 y 30) y superiores. Por lo tanto, incluso si la aplicación es vulnerable, no podrás explotarla.

filterTouchesWhenObscured

Si android:filterTouchesWhenObscured está configurado como true, la View no recibirá toques cuando la ventana de la vista esté oculta por otra ventana visible.

setFilterTouchesWhenObscured

El atributo setFilterTouchesWhenObscured configurado como true también puede prevenir la explotación de esta vulnerabilidad si la versión de Android es más baja. Si se establece en true, por ejemplo, un botón puede ser automáticamente deshabilitado si está oculto:

<Button android:text="Button"
android:id="@+id/button1"
android:layout_width="wrap_content"
android:layout_height="wrap_content"
android:filterTouchesWhenObscured="true">
</Button>

Explotación

Tapjacking-ExportedActivity

La aplicación más reciente de Android que realiza un ataque de Tapjacking (+ invocando antes una actividad exportada de la aplicación atacada) se puede encontrar en: https://github.com/carlospolop/Tapjacking-ExportedActivity.

Sigue las instrucciones del README para usarla.

FloatingWindowApp

Un proyecto de ejemplo que implementa FloatingWindowApp, el cual se puede utilizar para colocarse encima de otras actividades y realizar un ataque de clickjacking, se puede encontrar en FloatingWindowApp (un poco antiguo, buena suerte construyendo el apk).

Qark

Puedes usar qark con los parámetros --exploit-apk --sdk-path /Users/username/Library/Android/sdk para crear una aplicación maliciosa y probar posibles vulnerabilidades de Tapjacking.

La mitigación es relativamente simple ya que el desarrollador puede optar por no recibir eventos táctiles cuando una vista está cubierta por otra. Utilizando la Referencia del Desarrollador de Android:

A veces es esencial que una aplicación pueda verificar que una acción se está realizando con pleno conocimiento y consentimiento del usuario, como otorgar una solicitud de permiso, realizar una compra o hacer clic en un anuncio. Desafortunadamente, una aplicación maliciosa podría intentar engañar al usuario para que realice estas acciones, sin darse cuenta, ocultando el propósito previsto de la vista. Como remedio, el framework ofrece un mecanismo de filtrado táctil que se puede utilizar para mejorar la seguridad de las vistas que proporcionan acceso a funcionalidades sensibles.

Para habilitar el filtrado táctil, llama a setFilterTouchesWhenObscured(boolean) o establece el atributo de diseño android:filterTouchesWhenObscured en true. Cuando está habilitado, el framework descartará los toques que se reciban siempre que la ventana de la vista esté oscurecida por otra ventana visible. Como resultado, la vista no recibirá toques cada vez que aparezca una notificación, diálogo u otra ventana por encima de la ventana de la vista.