- يمكن لبرنامج Pixnapping سرقة رموز 2FA والبيانات الأخرى الموجودة على الشاشة في أقل من 30 ثانية دون إذن.
- إنه يعمل عن طريق إساءة استخدام واجهات برمجة تطبيقات Android وقناة جانبية لوحدة معالجة الرسومات لاستنتاج وحدات البكسل من تطبيقات أخرى.
- تم اختباره على Pixel 6-9 وGalaxy S25؛ التصحيح الأولي (CVE-2025-48561) لا يحظره بالكامل.
- يوصى باستخدام FIDO2/WebAuthn، وتقليل البيانات الحساسة على الشاشة، وتجنب التطبيقات من مصادر مشكوك فيها.
كشف فريق من الباحثين التقاط الصور، أ تقنية هجومية ضد هواتف أندرويد قادرة على التقاط ما يتم عرضه على الشاشة واستخراج البيانات الخاصة مثل رموز 2FA أو الرسائل أو المواقع في غضون ثوانٍ و بدون طلب الإذن.
المفتاح هو إساءة استخدام واجهات برمجة تطبيقات النظام معينة و القناة الجانبية لوحدة معالجة الرسومات لاستنتاج محتوى البكسلات التي تراها؛ فالعملية غير مرئية وفعالة طالما ظلت المعلومات مرئية، بينما لا يمكن سرقة الأسرار التي لا تظهر على الشاشة. قدمت Google إجراءات تخفيفية مرتبطة بـ CVE-2025-48561ولكن مؤلفي الاكتشاف أثبتوا وجود مسارات للتهرب، ومن المتوقع تقديم المزيد من التعزيزات في نشرة أمان أندرويد الصادرة في شهر ديسمبر.
ما هو Pixnapping ولماذا يشكل مصدر قلق؟
الاسم يجمع بين "البكسل" و"الاختطاف" لأن الهجوم يجعل حرفيا "اختطاف البكسل" لإعادة بناء المعلومات التي تظهر في تطبيقات أخرى. إنه تطور لتقنيات القنوات الجانبية المستخدمة منذ سنوات في المتصفحات، والتي تكيفت الآن مع نظام أندرويد الحديث، مع تنفيذ أكثر سلاسة وهدوءًا.
نظرًا لأنه لا يتطلب تصاريح خاصة، يتجنب Pixnapping الدفاعات القائمة على نموذج الأذونات و يعمل بشكل غير مرئي تقريبًاوهو ما يزيد من المخاطر على المستخدمين والشركات التي تعتمد في جزء من أمنها على ما يظهر بشكل عابر على الشاشة.
كيف يتم تنفيذ الهجوم
بشكل عام، يقوم التطبيق الخبيث بتنظيم الأنشطة المتداخلة ويقوم بمزامنة العرض لعزل مناطق معينة من الواجهة حيث يتم عرض البيانات الحساسة؛ ثم يستغل فرق التوقيت عند معالجة وحدات البكسل لاستنتاج قيمتها (انظر كيف تؤثر ملفات تعريف الطاقة على معدل الإطارات في الثانية).
- يتسبب في عرض التطبيق المستهدف للبيانات (على سبيل المثال، رمز 2FA أو نص حساس).
- يخفي كل شيء ما عدا منطقة الاهتمام ويتلاعب بإطار العرض بحيث "يهيمن" بكسل واحد.
- يفسر أوقات معالجة وحدة معالجة الرسومات (على سبيل المثال ظاهرة نوع GPU.zip) ويعيد بناء المحتوى.
من خلال التكرار والمزامنة، يستنتج البرنامج الخبيث الأحرف ويعيد تجميعها باستخدام تقنيات التعرف الضوئي على الحروفتحدد نافذة الوقت الهجوم، ولكن إذا ظلت البيانات مرئية لعدة ثوانٍ، فمن الممكن استردادها.
النطاق والأجهزة المتأثرة
وقد تأكد الأكاديميون من هذه التقنية في جوجل بيكسل 6 و7 و8 و9 y en el سامسونج جالاكسي إس 25مع إصدارات Android من 13 إلى 16. ونظرًا لأن واجهات برمجة التطبيقات المستغلة متاحة على نطاق واسع، فإنهم يحذرون من ذلك "جميع أجهزة Android الحديثة تقريبًا" قد تكون عرضة للخطر.
في الاختبارات التي أجريت باستخدام أكواد TOTP، استعاد الهجوم الكود بأكمله بمعدلات بلغت تقريبًا 73%، 53%، 29% و53% على Pixel 6 و7 و8 و9 على التوالي، وفي أوقات متوسطة قريبة من 14,3 ثانية؛ 25,8 ثانية؛ 24,9 ثانية و25,3 ثانية، مما يسمح لك بالتقدم قبل انتهاء صلاحية الرموز المؤقتة.
ما هي البيانات التي يمكن أن تسقط
بالإضافة إلى رموز المصادقة (Google Authenticator)وأظهر الباحثون إمكانية استعادة المعلومات من خدمات مثل حسابات Gmail وGoogle وتطبيقات المراسلة مثل Signal والمنصات المالية مثل Venmo أو بيانات الموقع من خرائط جوجلمن بين أمور أخرى.
كما أنها تنبهك إلى البيانات التي تظل على الشاشة لفترات زمنية أطول، مثل عبارات استرداد المحفظة أو مفاتيح لمرة واحدة؛ ومع ذلك، فإن العناصر المخزنة ولكن غير المرئية (على سبيل المثال، مفتاح سري لا يتم عرضه مطلقًا) تقع خارج نطاق Pixnapping.
استجابة Google وحالة التصحيح
تم إبلاغ النتيجة مسبقًا إلى Google، والتي وصفت المشكلة بأنها شديدة الخطورة ونشرت تخفيفًا أوليًا مرتبطًا بـ CVE-2025-48561ومع ذلك، وجد الباحثون طرقًا للتهرب منه، لذلك تم الوعد بإصدار تصحيح إضافي في النشرة الإخبارية لشهر ديسمبر ويتم الحفاظ على التنسيق مع جوجل وسامسونج.
يشير الوضع الحالي إلى أن الحظر النهائي سيتطلب مراجعة كيفية تعامل Android مع التقديم والتراكبات بين التطبيقات، حيث يستغل الهجوم على وجه التحديد تلك الآليات الداخلية.
التدابير التخفيفية الموصى بها
بالنسبة للمستخدمين النهائيين، يُنصح بتقليل عرض البيانات الحساسة على الشاشة واختيار المصادقة المقاومة للتصيد والقنوات الجانبية، مثل FIDO2/WebAuthn مع مفاتيح الأمان، وتجنب الاعتماد حصريًا على رموز TOTP كلما أمكن ذلك.
- حافظ على تحديث الجهاز وتطبيق نشرات الأمن فور توفرها.
- تجنب تثبيت التطبيقات من مصادر غير مؤكدة ومراجعة الأذونات والسلوك الشاذ.
- لا تحتفظ بعبارات الاسترداد أو بيانات الاعتماد مرئية؛ تفضل محافظ الأجهزة لحماية المفاتيح.
- قفل الشاشة بسرعة والحد من معاينات المحتوى الحساس.
بالنسبة لفرق المنتج والتطوير، فقد حان الوقت لـ مراجعة تدفقات المصادقة وتقليل سطح التعرض: تقليل النص السري على الشاشة، وتقديم حماية إضافية في وجهات النظر الحرجة وتقييم الانتقال إلى طرق خالية من التعليمات البرمجية يعتمد على الأجهزة.
على الرغم من أن الهجوم يتطلب أن تكون المعلومات مرئية، إلا أن قدرته على العمل بدون إذن وفي أقل من نصف دقيقة يجعلها تهديدًا خطيرًا: تقنية القناة الجانبية التي تستغل أوقات عرض وحدة معالجة الرسومات لقراءة ما تراه على الشاشة، مع وجود تخفيفات جزئية اليوم وإصلاح أعمق معلق.
أنا من عشاق التكنولوجيا وقد حول اهتماماته "المهووسة" إلى مهنة. لقد أمضيت أكثر من 10 سنوات من حياتي في استخدام التكنولوجيا المتطورة والتعديل على جميع أنواع البرامج بدافع الفضول الخالص. الآن تخصصت في تكنولوجيا الكمبيوتر وألعاب الفيديو. وذلك لأنني منذ أكثر من 5 سنوات أكتب لمواقع مختلفة حول التكنولوجيا وألعاب الفيديو، وأقوم بإنشاء مقالات تسعى إلى تزويدك بالمعلومات التي تحتاجها بلغة مفهومة للجميع.
إذا كان لديك أي أسئلة، فإن معرفتي تتراوح بين كل ما يتعلق بنظام التشغيل Windows وكذلك Android للهواتف المحمولة. والتزامي تجاهك هو أنني على استعداد دائمًا لقضاء بضع دقائق ومساعدتك في حل أي أسئلة قد تكون لديكم في عالم الإنترنت هذا.