- Gall Pixnapping ddwyn codau 2FA a data arall ar y sgrin mewn llai na 30 eiliad heb ganiatâd.
- Mae'n gweithio trwy gamddefnyddio APIs Android a sianel ochr GPU i gasglu picseli o apiau eraill.
- Wedi'i brofi ar Pixel 6-9 a Galaxy S25; nid yw'r clwt cychwynnol (CVE-2025-48561) yn ei rwystro'n llwyr.
- Argymhellir defnyddio FIDO2/WebAuthn, lleihau data sensitif ar y sgrin, ac osgoi apiau o ffynonellau amheus.
Mae tîm o ymchwilwyr wedi datgelu Picnapio, a Techneg ymosod yn erbyn ffonau Android sy'n gallu cipio'r hyn sy'n cael ei arddangos ar y sgrin ac echdynnu data preifat fel codau 2FA, negeseuon neu leoliadau mewn eiliadau a heb ofyn am ganiatâd.
Yr allwedd yw camddefnyddio rhai APIs system a Sianel ochr GPU i ddiddwytho cynnwys y picseli a welwch; mae'r broses yn anweledig ac yn effeithiol cyn belled â bod y wybodaeth yn parhau i fod yn weladwy, tra Ni ellir dwyn cyfrinachau nad ydynt yn cael eu dangos ar y sgrinMae Google wedi cyflwyno mesurau lliniaru sy'n gysylltiedig â CVE-2025-48561, ond mae awduron y darganfyddiad wedi dangos llwybrau osgoi, a disgwylir atgyfnerthu pellach ym mwletin diogelwch Android ym mis Rhagfyr.
Beth yw Pixnapping a pham ei fod yn bryder?
Yr enw yn cyfuno “pixel” a “herwgipio” oherwydd bod yr ymosodiad yn llythrennol yn gwneud "herwgipio picseli" i ail-greu gwybodaeth sy'n ymddangos mewn apiau eraill. Mae'n esblygiad o dechnegau sianel ochr a ddefnyddiwyd flynyddoedd yn ôl mewn porwyr, sydd bellach wedi'u haddasu i ecosystem Android modern gyda gweithrediad llyfnach a thawelach.
Gan nad oes angen caniatâd arbennig ar ei gyfer, Mae Pixnapping yn osgoi amddiffynfeydd yn seiliedig ar y model caniatâd a yn gweithredu bron yn anweledig, sy'n cynyddu'r risg i ddefnyddwyr a chwmnïau sy'n dibynnu rhan o'u diogelwch ar yr hyn sy'n ymddangos yn fyr ar y sgrin.
Sut mae'r ymosodiad yn cael ei weithredu
Yn gyffredinol, mae'r ap maleisus yn trefnu gweithgareddau sy'n gorgyffwrdd ac yn cydamseru rendro i ynysu ardaloedd penodol o'r rhyngwyneb lle mae data sensitif yn cael ei arddangos; yna'n manteisio ar y gwahaniaeth amseru wrth brosesu picseli i gasglu eu gwerth (gweler sut Mae proffiliau pŵer yn effeithio ar FPS).
- Yn achosi i'r ap targed arddangos y data (er enghraifft, cod 2FA neu destun sensitif).
- Yn cuddio popeth ac eithrio'r ardal o ddiddordeb ac yn trin y ffrâm rendro fel bod un picsel yn "dominyddu".
- Yn dehongli amseroedd prosesu GPU (e.e. ffenomen math GPU.zip) ac yn ail-greu'r cynnwys.
Gyda ailadrodd a chydamseru, mae'r meddalwedd faleisus yn didynnu cymeriadau ac yn eu hail-ymgynnull gan ddefnyddio Technegau OCRMae'r ffenestr amser yn cyfyngu ar yr ymosodiad, ond os yw'r data'n parhau i fod yn weladwy am ychydig eiliadau, mae adferiad yn bosibl.
Cwmpas a dyfeisiau yr effeithir arnynt
Gwiriodd yr academyddion y dechneg yn Google Pixel 6, 7, 8 a 9 ac yn y Samsung Galaxy S25, gyda fersiynau Android 13 i 16. Gan fod yr APIs sy'n cael eu hecsbloetio ar gael yn eang, maen nhw'n rhybuddio bod “bron pob Android modern” gallai fod yn agored i niwed.
Mewn profion gyda chodau TOTP, adferodd yr ymosodiad y cod cyfan gyda chyfraddau o tua 73%, 53%, 29% ac 53% ar Pixel 6, 7, 8 a 9, yn y drefn honno, ac mewn amseroedd cyfartalog yn agos at 14,3e; 25,8e; 24,9e a 25,3e, gan ganiatáu ichi fynd ymlaen â diwedd codau dros dro.
Pa ddata all ddisgyn
Yn ogystal â codau dilysu (Google Authenticator), dangosodd ymchwilwyr adferiad gwybodaeth o wasanaethau fel cyfrifon Gmail a Google, apiau negeseuon fel Signal, llwyfannau ariannol fel Venmo neu ddata lleoliad o Mapiau Googleymhlith eraill.
Maent hefyd yn eich rhybuddio am ddata sy'n aros ar y sgrin am gyfnodau hirach o amser, fel ymadroddion adfer waled neu allweddi untro; fodd bynnag, mae elfennau sydd wedi'u storio ond nad ydynt yn weladwy (e.e., allwedd gyfrinachol nad yw byth yn cael ei dangos) y tu hwnt i gwmpas Pixnapping.
Statws Ymateb a Chlwt Google
Cyfathrebwyd y canfyddiad ymlaen llaw i Google, a labelodd y broblem fel un ddifrifol iawn a chyhoeddodd liniaru cychwynnol yn gysylltiedig â CVE-2025-48561Fodd bynnag, daeth ymchwilwyr o hyd i ddulliau i'w osgoi, felly Mae clwt ychwanegol wedi'i addo yng nghylchlythyr mis Rhagfyr. a chynhelir cydgysylltiad â Google a Samsung.
Mae'r sefyllfa bresennol yn awgrymu y bydd bloc pendant yn gofyn am adolygiad o sut mae Android yn ymdrin â rendro a gorchuddion rhwng cymwysiadau, gan fod yr ymosodiad yn manteisio ar y mecanweithiau mewnol hynny'n union.
Mesurau lliniaru a argymhellir
I ddefnyddwyr terfynol, mae'n ddoeth lleihau amlygiad data sensitif ar y sgrin a dewis dilysu sy'n gwrthsefyll gwe-rwydo a sianeli ochr, fel FIDO2/WebAuthn gydag allweddi diogelwch, gan osgoi dibynnu'n llwyr ar godau TOTP pryd bynnag y bo modd.
- Cadwch eich dyfais yn gyfredol a rhoi bwletinau diogelwch ar waith cyn gynted ag y byddant ar gael.
- Osgowch osod apiau o ffynonellau heb eu gwirio ac adolygu caniatâd ac ymddygiad annormal.
- Peidiwch â chadw ymadroddion adfer na manylion mewngofnodi yn weladwy; mae'n well ganddoch chi waledi caledwedd i warchod allweddi.
- Cloi'r sgrin yn gyflym a chyfyngu ar ragolygon o gynnwys sensitif.
I dimau cynnyrch a datblygu, mae'n bryd llifau dilysu adolygu a lleihau arwyneb amlygiad: lleihau testun cyfrinachol ar y sgrin, cyflwyno amddiffyniadau ychwanegol mewn golygfeydd beirniadol a gwerthuso'r newid i dulliau di-god yn seiliedig ar galedwedd.
Er bod yr ymosodiad yn ei gwneud yn ofynnol i'r wybodaeth fod yn weladwy, ei allu i weithredu heb ganiatâd ac mewn llai na hanner munud yn ei gwneud yn fygythiad difrifol: techneg sianel ochr sy'n manteisio ar y Amseroedd rendro GPU i ddarllen yr hyn a welwch ar y sgrin, gyda lliniariadau rhannol heddiw ac atgyweiriad dyfnach yn yr arfaeth.
Rwy'n frwd dros dechnoleg sydd wedi troi ei ddiddordebau "geek" yn broffesiwn. Rwyf wedi treulio mwy na 10 mlynedd o fy mywyd yn defnyddio technoleg flaengar ac yn tinkering gyda phob math o raglenni allan o chwilfrydedd pur. Nawr rydw i wedi arbenigo mewn technoleg gyfrifiadurol a gemau fideo. Mae hyn oherwydd ers mwy na 5 mlynedd rwyf wedi bod yn ysgrifennu ar gyfer gwefannau amrywiol ar dechnoleg a gemau fideo, gan greu erthyglau sy'n ceisio rhoi'r wybodaeth sydd ei hangen arnoch mewn iaith sy'n ddealladwy i bawb.
Os oes gennych unrhyw gwestiynau, mae fy ngwybodaeth yn amrywio o bopeth sy'n ymwneud â system weithredu Windows yn ogystal ag Android ar gyfer ffonau symudol. Ac mae fy ymrwymiad i chi, rwyf bob amser yn barod i dreulio ychydig funudau a'ch helpu i ddatrys unrhyw gwestiynau sydd gennych yn y byd rhyngrwyd hwn.