Onderzoekers hebben een nieuwe aanval op Android gedemonstreerd met de naam TapTrap, waarbij gebruikers worden misleid om een app gevoelige permissies te geven. Zo kan de app toegang tot camera, locatie of notificaties krijgen, of via de Device Administrator permissie de telefoon op afstand wissen. De aanval werkt zowel bij apps als websites.

De onderliggende kwetsbaarheden zijn inmiddels verholpen in Google Chrome (CVE-2025-3067) en Mozilla Firefox (CVE-2025-1939). Android is nog steeds kwetsbaar, aldus de onderzoekers. TapTrap maakt het mogelijk voor een app zonder enige permissies om schermanimaties te misbruiken. De app doet zich voor als een game en opent vervolgens een ander scherm, zoals een systeem prompt of andere app.

Normaliter laat Android een animatie zien wanneer het scherm verandert. Door een custom animatie te gebruiken, die heel lang duurt en het nieuwe scherm volledig transparant maakt, krijgt de gebruiker de geopende app of prompt niet te zien. Elke tap die de gebruiker tijdens de animatie doet gaat naar de net verborgen, geopende app of prompt, en niet naar de zichtbare malafide app. Zo kan de gebruiker denken dat hij een game aan het spelen is, maar ondertussen worden alle gedane taps binnen een andere app uitgevoerd.

De gebruiker kan zo zonder dat hij het door heeft een app of website allerlei permissies geven of zelfs de permissie voor het wissen van het toestel. De onderzoekers zeggen dat ze het Android Security Team op 31 oktober vorig jaar informeerden over het probleem. Afgelopen maart verschenen er updates voor Chrome en Firefox, maar Android is nog steeds kwetsbaar. Gebruikers die zich in afwachting van een eventuele update willen beschermen kunnen systeemanimaties uitschakelen. Het probleem is niet aanwezig op iOS.