- Ang Pixnapping mahimong makawat sa 2FA nga mga code ug uban pang on-screen nga datos sa ubos sa 30 segundos nga walay pagtugot.
- Naglihok kini pinaagi sa pag-abuso sa mga Android API ug usa ka channel sa kilid sa GPU aron mahibal-an ang mga pixel gikan sa ubang mga app.
- Gisulayan sa Pixel 6-9 ug Galaxy S25; ang inisyal nga patch (CVE-2025-48561) dili bug-os nga makababag niini.
- Girekomenda nga gamiton ang FIDO2/WebAuthn, pagminus sa sensitibo nga datos sa screen, ug likayan ang mga app gikan sa mga kadudahang gigikanan.
Usa ka grupo sa mga tigdukiduki ang nagpadayag Pixnapping, usa Teknik sa pag-atake batok sa mga Android phone nga makahimo sa pagkuha sa gipakita sa screen ug pagkuha sa pribadong data sama sa 2FA code, mensahe o lokasyon sa mga segundo ug sa walay pagpangayog permiso.
Ang yawe mao ang pag-abuso sa pipila ka mga sistema sa API ug a Kanal sa kilid sa GPU aron mahibal-an ang sulud sa mga pixel nga imong nakita; ang proseso dili makita ug epektibo basta ang impormasyon magpabilin nga makita, samtang Ang mga sekreto nga wala gipakita sa screen dili mahimong kawaton. Gipaila sa Google ang mga pagpaminus nga nalangkit sa CVE-2025-48561, apan ang mga tagsulat sa pagkadiskobre nagpakita sa mga agianan sa paglikay, ug ang dugang nga pagpalig-on gilauman sa Disyembre Android security bulletin.
Unsa ang Pixnapping ug ngano nga kini usa ka kabalaka?
Ang ngalan naghiusa sa "pixel" ug "kidnapping" tungod kay ang pag-atake literal nga naghimo sa usa ka "pag-hijack sa pixel" aron matukod pag-usab ang impormasyon nga makita sa ubang mga app. Kini usa ka ebolusyon sa mga teknik sa side-channel nga gigamit mga tuig na ang milabay sa mga browser, karon gipahiangay sa modernong ekosistema sa Android nga adunay mas hapsay, mas hilom nga pagpatuman.
Tungod kay wala kini magkinahanglan ug espesyal nga mga permiso, Gilikayan sa Pixnapping ang mga depensa base sa modelo sa pagtugot ug naglihok halos dili makita, nga nagdugang sa risgo alang sa mga tiggamit ug mga kompanya nga nagsalig nga bahin sa ilang seguridad sa kung unsa ang makita nga dali sa screen.
Giunsa ang pag-atake gipatuman
Sa kinatibuk-an nga termino, ang malisyosong app nag-orkestrate sa a nagsapaw-sapaw nga mga kalihokan ug nag-synchronize sa paghubad aron ihimulag ang piho nga mga lugar sa interface diin gipakita ang sensitibo nga datos; unya gipahimuslan ang kalainan sa oras sa pagproseso sa mga pixel aron mahibal-an ang ilang kantidad (tan-awa kung giunsa Ang mga profile sa gahum makaapekto sa FPS).
- Hinungdan nga ang target nga app magpakita sa datos (pananglitan, usa ka 2FA code o sensitibo nga teksto).
- Gitago ang tanan gawas sa lugar sa interes ug gimaniobra ang rendering frame aron ang usa ka pixel "modominar."
- Gihubad ang mga oras sa pagproseso sa GPU (eg. GPU.zip type phenomenon) ug nagtukod pag-usab sa sulod.
Uban sa pagbalik-balik ug pag-synchronize, ang malware nag-deduce sa mga karakter ug gi-assemble kini gamit Mga pamaagi sa OCRAng window sa oras naglimite sa pag-atake, apan kung ang datos magpabilin nga makita sulod sa pipila ka segundo, posible ang pagkaayo.
Sakop ug naapektuhan nga mga himan
Gipamatud-an sa mga akademiko ang teknik sa Google Pixel 6, 7, 8 ug 9 ug sa Samsung Galaxy S25, nga adunay mga bersyon sa Android 13 hangtod 16. Tungod kay ang gipahimuslan nga mga API kaylap nga magamit, sila nagpasidaan nga "Hapit tanan nga modernong Androids" mahimong delikado.
Sa mga pagsulay nga adunay mga TOTP code, nabawi sa pag-atake ang tibuuk nga code nga adunay gibanabana nga rate 73%, 53%, 29% ug 53% sa Pixel 6, 7, 8 ug 9, matag usa, ug sa kasagaran nga mga panahon duol sa 14,3s; 25,8s; 24,9s ug 25,3s, nga nagtugot kanimo sa pag-una sa pag-expire sa temporaryo nga mga code.
Unsa nga datos ang mahimong mahulog
Gawas pa sa authentication codes (Google Authenticator), gipakita sa mga tigdukiduki ang pagbawi sa impormasyon gikan sa mga serbisyo sama sa Gmail ug Google account, messaging apps sama sa Signal, pinansyal nga mga plataporma sama sa Venmo o lokasyon data gikan sa Google Maps, ug uban pa.
Gipaalerto usab ka nila bahin sa datos nga nagpabilin sa screen sa mas taas nga panahon, sama sa mga pulong sa pagbawi sa pitaka o usa ka higayon nga mga yawe; bisan pa, ang gitipigan apan dili makita nga mga elemento (pananglitan, usa ka sekreto nga yawe nga wala gyud ipakita) wala sa sulud sa Pixnapping.
Tubag sa Google ug Status sa Patch
Ang pagpangita gipahibalo daan sa Google, nga nagbutang sa isyu nga taas nga kagrabe ug nagpatik sa usa ka inisyal nga pagpaminus nga nalangkit sa CVE-2025-48561Bisan pa, ang mga tigdukiduki nakakaplag mga pamaagi aron malikayan kini, busa Usa ka dugang nga patch ang gisaad sa Disyembre nga newsletter ug ang koordinasyon sa Google ug Samsung gipadayon.
Ang kasamtangan nga sitwasyon nagsugyot nga ang usa ka depinitibo nga block manginahanglan usa ka pagrepaso kung giunsa pagdumala sa Android rendering ug mga overlay tali sa mga aplikasyon, tungod kay ang pag-atake nagpahimulos sa tukma nga mga internal nga mekanismo.
Girekomenda nga mga lakang sa pagpaminus
Para sa mga end user, maayo nga pakunhuran ang exposure sa sensitibong data sa screen ug pilion ang phishing-resistant authentication ug side channels, sama sa FIDO2/WebAuthn nga adunay mga yawe sa seguridad, paglikay sa pagsalig nga eksklusibo sa mga TOTP code kung mahimo.
- Hupti nga updated ang device ug i-apply ang security bulletin sa diha nga kini magamit na.
- Likayi ang pag-instalar sa mga app gikan sa wala mapamatud-an nga mga tinubdan ug pagrepaso sa mga permiso ug anomalosong kinaiya.
- Ayaw itago ang mga pulong sa pagbawi o mga kredensyal nga makita; gusto mga pitaka sa hardware sa pagbantay sa mga yawe.
- I-lock dayon ang screen ug limitahan ang mga preview sa sensitibo nga sulod.
Para sa mga team sa produkto ug pagpalambo, panahon na nga repasuha ang authentication flows ug pagpakunhod sa nawong sa pagkaladlad: pagminus sa sekreto nga teksto sa screen, pagpaila sa dugang nga mga panalipod sa kritikal nga mga panglantaw ug pagtimbang-timbang sa transisyon ngadto mga pamaagi nga walay code gibase sa hardware.
Bisan tuod ang pag-atake nagkinahanglan sa impormasyon nga makita, ang abilidad niini sa pag-operate walay permiso ug wala pay tunga sa minuto naghimo niini nga usa ka seryoso nga hulga: usa ka side-channel nga teknik nga nagpahimulos sa Mga oras sa pag-render sa GPU aron mabasa kung unsa ang imong makita sa screen, nga adunay mga partial mitigations karon ug usa ka mas lawom nga pag-ayo nga naghulat.
Usa ako ka mahiligon sa teknolohiya nga naghimo sa iyang "geek" nga interes nga usa ka propesyon. Gigugol nako ang sobra sa 10 ka tuig sa akong kinabuhi gamit ang labing bag-ong teknolohiya ug pag-usisa sa tanan nga mga klase sa mga programa tungod sa putli nga pagkamausisaon. Karon espesyalista na ako sa teknolohiya sa kompyuter ug mga dula sa video. Kini tungod kay sa sobra sa 5 ka tuig nagsulat ako alang sa lainlaing mga website sa teknolohiya ug mga dula sa video, nagmugna og mga artikulo nga nagtinguha sa paghatag kanimo sa impormasyon nga imong gikinahanglan sa usa ka pinulongan nga masabtan sa tanan.
Kung naa kay mga pangutana, ang akong kahibalo gikan sa tanan nga may kalabotan sa operating system sa Windows ingon man sa Android para sa mga mobile phone. Ug ang akong pasalig kanimo, andam ako kanunay nga mogahin og pipila ka minuto ug tabangan ka nga masulbad ang bisan unsang mga pangutana nga mahimo nimo sa niining kalibutan sa internet.