- Pixnapping dokáže bez povolení ukrást kódy 2FA a další data na obrazovce za méně než 30 sekund.
- Funguje to tak, že zneužívá Android API a postranní kanál GPU k odvozování pixelů z jiných aplikací.
- Testováno na Pixelu 6-9 a Galaxy S25; původní záplata (CVE-2025-48561) jej plně neblokuje.
- Doporučuje se používat FIDO2/WebAuthn, minimalizovat citlivá data na obrazovce a vyhýbat se aplikacím z pochybných zdrojů.
Tým výzkumníků odhalil Pixnapping, One Technika útoku proti telefonům s Androidem schopná zachytit, co je zobrazeno na obrazovce, a extrahovat soukromá data například kódy 2FA, zprávy nebo umístění během několika sekund a bez vyžádání povolení.
Klíčem je zneužití určitých systémových API a Boční kanál GPU odvodit obsah pixelů, které vidíte; proces je neviditelný a efektivní, dokud informace zůstávají viditelné, zatímco Tajemství, která nejsou zobrazena na obrazovce, nemohou být ukradenaSpolečnost Google zavedla zmírňující opatření spojená s CVE-2025-48561, ale autoři objevu prokázali cesty k úniku a v prosincovém bezpečnostním bulletinu pro Android se očekává další posílení.
Co je Pixnapping a proč je to problém?
Jméno kombinuje „pixel“ a „únos“ protože útok doslova vytváří „únos pixelů“ rekonstruovat informace, které se zobrazují v jiných aplikacích. Jde o vývoj technik postranních kanálů používaných před lety v prohlížečích, které jsou nyní přizpůsobeny modernímu ekosystému Androidu s plynulejším a tišším spuštěním.
Protože nevyžaduje zvláštní povolení, Pixnapping se vyhýbá obraně založené na modelu oprávnění a funguje téměř neviditelně, což zvyšuje riziko pro uživatele a společnosti, které se částečně spoléhají na to, co se na obrazovce objevuje jen letmo.
Jak je útok proveden
Obecně řečeno, škodlivá aplikace organizuje překrývající se aktivity a synchronizuje vykreslování, aby izoloval specifické oblasti rozhraní, kde se zobrazují citlivá data; poté využívá časový rozdíl při zpracování pixelů k odvození jejich hodnoty (viz jak Profily napájení ovlivňují FPS).
- Způsobí, že cílová aplikace zobrazí data (například kód 2FA nebo citlivý text).
- Skryje vše kromě oblasti zájmu a manipuluje s vykreslovacím rámečkem tak, aby jeden pixel „dominoval“.
- Interpretuje časy zpracování GPU (např. fenomén typu GPU.zip) a rekonstruuje obsah.
Pomocí opakování a synchronizace malware odvodí znaky a znovu je sestaví pomocí OCR technikyČasové okno útok omezuje, ale pokud data zůstanou viditelná po dobu několika sekund, je možné je obnovit.
Rozsah a dotčená zařízení
Akademici ověřili tuto techniku v Google Pixel 6, 7, 8 a 9 a ve Samsung Galaxy S25, s verzemi Androidu 13 až 16. Vzhledem k tomu, že zneužívaná API jsou široce dostupná, varují, že „téměř všechny moderní Androidy“ mohl by být náchylný.
V testech s kódy TOTP útok obnovil celý kód s rychlostí přibližně 73 %, 53 %, 29 % a 53 % na Pixelu 6, 7, 8 a 9 a v průměrných časech blízkých 14,3 s; 25,8 s; 24,9 s a 25,3 s, což vám umožní předejít vypršení platnosti dočasných kódů.
Jaká data mohou klesat
Kromě ověřovací kódy (Google Authenticator)Výzkumníci prokázali, že se dají obnovit informace ze služeb, jako jsou účty Gmail a Google, aplikace pro zasílání zpráv, jako je Signal, finanční platformy, jako je Venmo, nebo údaje o poloze z... Mapy Google, Mimo jiné.
Také vás upozorní na data, která zůstávají na obrazovce delší dobu, například fráze pro obnovení peněženky nebo jednorázové klíče; uložené, ale neviditelné prvky (např. tajný klíč, který se nikdy nezobrazuje) však nespadají do rozsahu Pixnappingu.
Stav odpovědi a opravy od Googlu
Zjištění bylo předem oznámeno společnosti Google, která problém označila za vysoce závažný a zveřejnila počáteční opatření k jeho zmírnění. CVE-2025-48561Vědci však našli způsoby, jak se tomu vyhnout, a tak V prosincovém newsletteru byla slíbena další oprava. a je udržována koordinace se společnostmi Google a Samsung.
Současná situace naznačuje, že definitivní blokování bude vyžadovat přezkoumání způsobu, jakým Android zpracovává vykreslování a překryvy mezi aplikacemi, protože útok využívá právě tyto interní mechanismy.
Doporučená zmírňující opatření
Pro koncové uživatele je vhodné omezit vystavení citlivých dat na obrazovce a zvolit ověřování odolné proti phishingu a vedlejší kanály, jako například FIDO2/WebAuthn s bezpečnostními klíčia pokud možno se vyhnout spoléhání se výhradně na kódy TOTP.
- Udržujte své zařízení aktuální a používejte bezpečnostní bulletiny, jakmile budou k dispozici.
- Vyhněte se instalaci aplikací z neověřené zdroje a zkontrolovat oprávnění a anomální chování.
- Neuchovávejte obnovovací fráze ani přihlašovací údaje viditelné; raději hardwarové peněženky střežit klíče.
- Rychlé zamknutí obrazovky a omezit náhledy citlivého obsahu.
Pro produktové a vývojové týmy je čas zkontrolovat procesy ověřování a zmenšit expoziční plochu: minimalizovat tajný text na obrazovce, zavést dodatečné ochrany v kritických zobrazeních a vyhodnotit přechod k metody bez kódu hardwarově založené.
Ačkoli útok vyžaduje, aby informace byly viditelné, jeho schopnost fungovat bez povolení a za méně než půl minuty z toho dělá vážnou hrozbu: technika postranního kanálu, která využívá Doby vykreslování GPU abyste si mohli přečíst, co vidíte na obrazovce, s částečnými zmírněními dnes a hloubkovou opravou, která čeká na vyřešení.
Jsem technologický nadšenec, který ze svých „geekovských“ zájmů udělal profesi. Strávil jsem více než 10 let svého života používáním nejmodernějších technologií a vrtáním se všemi druhy programů z čisté zvědavosti. Nyní se specializuji na počítačovou techniku a videohry. Je to proto, že již více než 5 let píšu pro různé webové stránky o technologiích a videohrách a tvořím články, které se vám snaží poskytnout informace, které potřebujete, v jazyce, který je srozumitelný všem.
Pokud máte nějaké dotazy, mé znalosti sahají od všeho, co se týká operačního systému Windows a také Androidu pro mobilní telefony. A můj závazek je vůči vám, jsem vždy ochoten strávit pár minut a pomoci vám vyřešit jakékoli otázky, které můžete mít v tomto internetovém světě.