根據 BleepingComputer 的報導（2025年7月9日），一種名為「TapTrap」的新型 Android 攻擊技術，利用用戶介面（UI）動畫漏洞，繞過 Android 系統的權限保護，誘導用戶執行敏感操作或洩露個人資料。此技術由維也納科技大學（TU Wien）與拜羅伊特大學（University of Bayreuth）的研究團隊（Philipp Beer、Marco Squarcina、Sebastian Roth、Martina Lindorfer）開發，將於下個月在 USENIX 安全研討會上發表。與傳統基於覆蓋層的點擊劫持（tapjacking）不同，TapTrap 攻擊無需應用任何權限，即可通過透明的動畫活動覆蓋惡意界面，誘騙用戶點擊隱藏的「允許」或「授權」按鈕，從而執行危險操作，如啟用攝影機權限或擦除設備數據。TapTrap 的核心在於利用 Android 的 UI 動畫，將目標活動的透明度設置為極低值（例如 alpha=0.01），使其幾乎不可見。用戶以為自己在與合法應用互動，實際上卻點擊了惡意界面上的敏感操作。研究人員展示了一個案例：一款遊戲應用通過 TapTrap 誘導用戶點擊隱藏的 Chrome 瀏覽器提示，啟用網站的攝影機訪問權限。這種攻擊的隱蔽性使其難以被察覺，即使在最新的 Android 15 和 16 版本中，該漏洞仍未被修補。研究人員在 Google Pixel 8a（運行 Android 16）上驗證了 TapTrap 的有效性，GrapheneOS 也證實該漏洞存在，並計劃在下一版本中修復。研究顯示，TapTrap 的成功率極高。在實驗中，參與者在不知情的情況下幾乎無法察覺攻擊。即使在第二次測試中，當參與者被告知可能存在攻擊時，只有14人注意到攝影機指示燈的異常，而基於位置的攻擊和設備管理權限的靜默授予幾乎未被發現。這顯示用戶在缺乏明顯安全提示下，極易成為受害者。TapTrap 可能被用於竊取攝影機、麥克風、位置數據、通知等敏感資源，甚至可能導致設備被完全擦除。為防範此類攻擊，建議用戶謹慎安裝應用，僅從可信來源下載，並檢查應用權限和用戶評價。GrapheneOS 的修補計劃顯示，專注於隱私和安全的操作系統可能提供更強的保護。此外，Android 用戶應保持系統更新，並考慮使用具備行為異常檢測的終端防護工具。隨著 TapTrap 等新型攻擊的出現，顯示 Android 生態系統在應對 UI 相關漏洞時仍需改進。未來，Google 可能需要加強對 UI 動畫的限制，或引入更顯著的安全提示，以降低此類攻擊的風險。