L29Ah @L29Ah@qoto.org

Когда-то давно в Android была уязвимость, называемая Tapjacking. Суть в том, что пользователь тапал на экран в приложнии А (например это была игра), а тап пробрасывался приложению Б. Таким образом вредоносное приложение могло получить нужные ему права. Выдаёт себя за игру "найди предмет", а предметы находятся ровно там, где нужные пункты меню и кнопок в системе располагаются.

В несколько попыток, но Google таки закрыл эту проблему. Но встречаем #TapTrap: https://taptrap.click/ Суть такая:

Атакующее приложение запускает жертву. Но запускает хитро - с явным указанием анимации для целевой активити
Через эту анимацию указывается в том числе прозрачность, близкая к абсолютной
Жертва запускается долго из-за переопределённой анимации - вплоть до 3х секунд
Пока она запускается, уже отрисованные элементы могут начать принимать тапы. Начнут или нет - зависит от реализации самого приложения. Кто-то слушателей кликов повесит сразу, кто-то - после всех анимаций. Но, как правило, вешают сразу, чтобы приложение мгновенно реагировало на нажатие. Ну вы знаете эту штуку - анимация ещё не закончилась, она медленная (для вашего восприятия), вы жмёте на кнопку, но реакции нет. Вот это раздражает, но в данном случае такие приложения как раз не подвержены уязвимости
Когда анимация уже подходит к концу, вредоносное приложение поднимает себя из фона обратно на передний план. Да, разработчики под Андроид знают про ограничение системы и про исключение "НЕЛЬЗЯ ПОДНИМАТЬСЯ ИЗ ФОНА СУКА", которое бросает ОС. Но после ухода в фон у вас есть несколько секунд на возвращение обратно и исключения не будет.

В демонстрационном видео выглядит так, будто чел тапает на жуков и всё норм. Фишка в том, что те тапы, которые делались в момент анимации, проходили на жертву. А приложение лишь имитировало, будто пользователь правильно тапнул. То есть заверните это в игру на скорость реакции и вам хватит анимации в 200 мс и пользователь не поймёт, что часть его тапов лишь имитируется приложением. Для него будет выглядеть всё нормально.

Пользователям #Android: уявзимость не исправлена в т.ч. в 16, пока что.
Пользователям #Android продвинутым: анимации можно отключить в опциях разработчика. Бонусом получите ускорение интерфейса, на самом деле. Когда (если) вернёте настройки обратно, после выхода исправления, заметите, что телефон начал тупить. По крайней мере у меня такой эффект преследует много лет. Так как тестовые телефоны у меня все с отключенными анимациями, а личные - с анимациями по умолчанию.
Пользователям #GrapheneOS: фикс уже есть.
Разработчикам: либо не вешайте слушателей до конца анимации, либо не учитывайте вдвигаемые настройки анимации. Первое будет бесить быстрых пользователей, а второе будет бесить пользователей, которые привыкли, что приложения подчиняются общесистемным настройкам

Я устал от запредельной, граничащей с фашизмом левости мейнстримного Федиверса. Я вас ненавижу, вокнутые калеки.

I'm tired of the outrageous, bordering on fascism leftism of the mainstream Fediverse. I hate you, woke cripples.

#quote

Урок Холокоста — и ковида — не в том, что немцы, жители провинции Альберта, или люди 21 века уникально доверчивы или злодеи. Дело в том, что для большинства людей «мораль» — это не вопрос принципа, а скорее принятие того, что они считают доминирующей групповой идеологией — даже если эта идеология отмечена необузданной иррациональностью или жестокой бесчеловечностью.

Действительно, как в некоторых культах или бандах, жестокость или иррациональность действий или убеждений, необходимых для сигнализации о принадлежности к группе, еще больше укореняют людей в идеологии, а не отталкивают их; своего рода извращенная ошибка невозвратных затрат в большом масштабе.