- Pixnapping suudab ilma loata varastada 2FA-koode ja muid ekraanil kuvatavaid andmeid vähem kui 30 sekundiga.
- See toimib nii, et kuritarvitab Androidi API-sid ja GPU külgkanalit, et järeldada piksleid teistest rakendustest.
- Testitud Pixel 6-9 ja Galaxy S25 telefonidel; esialgne parandus (CVE-2025-48561) ei blokeeri seda täielikult.
- Soovitatav on kasutada FIDO2/WebAuthni, minimeerida tundlikke andmeid ekraanil ja vältida kahtlastest allikatest pärit rakendusi.
Teadlaste meeskond on avastanud Pixnapping, Üks Rünnakutehnika Android-telefonide vastu, mis on võimeline jäädvustama ekraanil kuvatavat ja sellest privaatseid andmeid välja võtma näiteks 2FA koodid, sõnumid või asukohad sekunditega ja ilma luba küsimata.
Võti peitub teatud süsteemi API-de kuritarvitamises ja GPU külgkanal et tuletada nähtavate pikslite sisu; protsess on nähtamatu ja efektiivne seni, kuni teave jääb nähtavaks, samal ajal kui Saladusi, mida ekraanil ei näidata, ei saa varastadaGoogle on kehtestanud leevendusmeetmed, mis on seotud järgmisega: CVE-2025-48561, kuid avastuse autorid on näidanud kõrvalehoidumisteid ja detsembrikuu Androidi turvabülletäänis on oodata edasist kinnitust.
Mis on Pixnapping ja miks see muret tekitab?
nimi ühendab "piksli" ja "inimröövi" sest rünnak teeb sõna otseses mõttes "Pikslite kaaperdamine" et rekonstrueerida teavet, mis kuvatakse teistes rakendustes. See on aastaid tagasi brauserites kasutatud külgkanali tehnikate areng, mis on nüüd kohandatud tänapäevasele Androidi ökosüsteemile sujuvama ja vaiksema teostuse abil.
Kuna selleks pole vaja eriluba, Pixnapping väldib loamudelil põhinevaid kaitsemeetmeid ja toimib peaaegu nähtamatult, mis suurendab riski kasutajatele ja ettevõtetele, kes toetuvad osaliselt oma turvalisusele ekraanil lühidalt ilmuvale teabele.
Kuidas rünnakut ellu viiakse
Üldiselt korraldab pahatahtlik rakendus kattuvad tegevused ja sünkroniseerib renderdamist, et isoleerida liidese teatud alad, kus kuvatakse tundlikke andmeid; seejärel kasutab pikslite töötlemisel ajastuserinevust nende väärtuse tuletamiseks (vt kuidas Võimsusprofiilid mõjutavad FPS-i).
- Paneb sihtrakenduse andmed kuvama (näiteks 2FA kood või tundlik tekst).
- Peidab kõik peale huvipakkuva ala ja manipuleerib renderdusraami nii, et üks piksel "domineerib".
- Tõlgendab GPU töötlemisaegu (nt GPU.zip tüüpi nähtus) ja rekonstrueerib sisu.
Kordamise ja sünkroniseerimise abil tuletab pahavara tegelased välja ja paneb need uuesti kokku, kasutades OCR tehnikadAjaaken piirab rünnakut, kuid kui andmed jäävad mõneks sekundiks nähtavaks, on taastamine võimalik.
Ulatus ja mõjutatud seadmed
Akadeemikud kinnitasid tehnika toimivust Google Pixel 6, 7, 8 ja 9 ja Samsung Galaxy S25, Androidi versioonidega 13 kuni 16. Kuna ärakasutatud API-d on laialdaselt saadaval, hoiatavad nad, et "Peaaegu kõik tänapäevased Androidid" võiks olla vastuvõtlik.
TOTP-koodidega testides taastas rünnak kogu koodi ligikaudu 73%, 53%, 29% ja 53% vastavalt Pixel 6, 7, 8 ja 9 telefonides ning keskmiselt umbes 14,3 sekundit; 25,8 sekundit; 24,9 sekundit ja 25,3 sekundit, mis võimaldab teil ajutiste koodide aegumisest ette teada saada.
Millised andmed võivad kaduda
Lisaks autentimiskoodid (Google Authenticator)teadlased näitasid teabe taastamist sellistest teenustest nagu Gmail ja Google'i kontod, sõnumsiderakendustest nagu Signal, finantsplatvormidelt nagu Venmo või asukohaandmetest Google Maps, Teiste hulgas.
Samuti hoiatavad nad teid andmete eest, mis jäävad ekraanile pikemaks ajaks, näiteks rahakoti taastamise fraasid või ühekordsed võtmed; salvestatud, kuid mitte nähtavad elemendid (nt salajane võti, mida kunagi ei kuvata) jäävad Pixnappingi ulatusest välja.
Google'i vastus ja paiga olek
Tulemusest teatati eelnevalt Google'ile, kes hindas probleemi kõrge raskusastmega probleemiks ja avaldas esialgse leevendusplaani, mis oli seotud järgmisega: CVE-2025-48561Siiski leidsid teadlased viise selle vältimiseks, nii et Detsembrikuu uudiskirjas lubati täiendavat parandust ja Google'i ning Samsungiga säilitatakse koordinatsioon.
Praegune olukord viitab sellele, et lõplik blokeerimine nõuab Androidi toimimise ülevaatamist. renderdamine ja ülekatted rakenduste vahel, kuna rünnak kasutab ära just neid sisemisi mehhanisme.
Soovitatavad leevendusmeetmed
Lõppkasutajate jaoks on soovitatav vähendada tundlike andmete nähtavust ekraanil ning valida andmepüügikindel autentimine ja kõrvalkanalid, näiteks FIDO2/WebAuthn turvavõtmetega, vältides võimaluse korral ainult TOTP-koodidele tuginemist.
- Hoidke oma seade ajakohasena ja rakendage turvabülletääne niipea, kui need on kättesaadavad.
- Vältige rakenduste installimist saidilt kontrollimata allikatest ja vaadake üle õigused ning anomaalne käitumine.
- Ärge hoidke taastamisfraase ega volitusi nähtaval; eelistage riistvara rahakotid võtmete valvamiseks.
- Lukusta ekraan kiiresti ja piirata tundliku sisu eelvaateid.
Toote- ja arendusmeeskondade jaoks on aeg vaadake autentimisvooge üle ja vähendada kokkupuutepinda: minimeerida ekraanil olevat salajast teksti, kehtestada kriitilistes vaadetes täiendavaid kaitsemeetmeid ja hinnata üleminekut koodivabad meetodid riistvarapõhine.
Kuigi rünnak nõuab teabe nähtavust, on selle toimimisvõime ... ilma loata ja vähem kui poole minutiga muudab selle tõsiseks ohuks: külgkanali tehnika, mis kasutab ära GPU renderdamisajad ekraanil kuvatava lugemiseks, osaliste leevendustega täna ja põhjalikuma parandusega ootel.
Olen tehnoloogiahuviline, kes on muutnud oma "nohikese" huvidest elukutse. Olen veetnud üle 10 aasta oma elust tipptehnoloogiat kasutades ja puhtast uudishimust igasuguste programmide kallal nokitsenud. Nüüd olen spetsialiseerunud arvutitehnoloogiale ja videomängudele. Seda seetõttu, et rohkem kui 5 aastat olen kirjutanud erinevatele tehnoloogia ja videomängude veebisaitidele, luues artikleid, mille eesmärk on anda teile vajalikku teavet kõigile arusaadavas keeles.
Kui teil on küsimusi, siis minu teadmised ulatuvad kõigest, mis on seotud nii Windowsi operatsioonisüsteemiga kui ka Androidiga mobiiltelefonidele. Ja ma olen pühendunud teile, olen alati nõus kulutama paar minutit ja aitama teil lahendada kõik küsimused, mis teil selles Interneti-maailmas tekkida võivad.