- Pixnapping kin 2FA-koades en oare gegevens op it skerm stelle yn minder as 30 sekonden sûnder tastimming.
- It wurket troch Android API's en in GPU-sydkanaal te misbrûken om piksels fan oare apps ôf te lieden.
- Test op Pixel 6-9 en Galaxy S25; de earste patch (CVE-2025-48561) blokkearret it net folslein.
- It is oan te rieden om FIDO2/WebAuthn te brûken, gefoelige gegevens op it skerm te minimalisearjen en apps fan twifele boarnen te foarkommen.
In team fan ûndersikers hat ûntdutsen Pixnapping, in Oanfalstechnyk tsjin Android-tillefoans dy't by steat binne om te fangen wat op it skerm werjûn wurdt en priveegegevens te ekstrahearjen lykas 2FA-koades, berjochten of lokaasjes yn in pear sekonden en sûnder tastimming te freegjen.
De kaai is om bepaalde systeem-API's te misbrûken en in GPU-sydkanaal om de ynhâld fan 'e piksels dy't jo sjogge ôf te lieden; it proses is ûnsichtber en effektyf salang't de ynformaasje sichtber bliuwt, wylst Geheimen dy't net op it skerm te sjen binne, kinne net stellen wurdeGoogle hat mitigaasjes yntrodusearre dy't ferbûn binne mei CVE-2025-48561, mar de auteurs fan 'e ûntdekking hawwe ûntwykpaden oantoand, en fierdere fersterking wurdt ferwachte yn it Android-feiligensbulletin fan desimber.
Wat is Pixnapping en wêrom is it in soarch?
De namme kombinearret "piksel" en "ûntfiering" om't de oanfal letterlik in "pikselkaping" om ynformaasje te rekonstruearjen dy't yn oare apps ferskynt. It is in evolúsje fan sydkanaaltechniken dy't jierren lyn yn browsers brûkt waarden, no oanpast oan it moderne Android-ekosysteem mei glêdere, stiller útfiering.
Omdat it gjin spesjale fergunningen fereasket, Pixnapping foarkomt ferdigeningswurken basearre op it tastimmingsmodel en wurket hast ûnsichtber, wat it risiko fergruttet foar brûkers en bedriuwen dy't in part fan har feiligens fertrouwe op wat flechtich op it skerm ferskynt.
Hoe't de oanfal útfierd wurdt
Yn 't algemien orkestrearret de kweade app in oerlappende aktiviteiten en syngronisearret rendering om spesifike gebieten fan 'e ynterface te isolearjen wêr gefoelige gegevens werjûn wurde; dan brûkt it tiidsferskil by it ferwurkjen fan piksels om har wearde ôf te lieden (sjoch hoe Krêftprofilen beynfloedzje FPS).
- Soarget derfoar dat de doel-app de gegevens werjout (bygelyks in 2FA-koade of gefoelige tekst).
- Ferberget alles útsein it gebiet fan belang en manipulearret it renderingframe sadat ien piksel "dominearret".
- Ynterpreteart GPU-ferwurkingstiden (bygelyks GPU.zip-type ferskynsel) en rekonstruearret de ynhâld.
Mei werhelling en syngronisaasje dedusearret de malware karakters en set se opnij gear mei help fan OCR-technikenIt tiidsfinster beheint de oanfal, mar as de gegevens in pear sekonden sichtber bliuwe, is herstel mooglik.
Omfang en troffen apparaten
De akademisy hawwe de technyk ferifiearre yn Google Pixel 6, 7, 8 en 9 en yn 'e Samsung Galaxy S25, mei Android-ferzjes 13 oant en mei 16. Om't de eksploitearre API's breed beskikber binne, warskôgje se dat "hast alle moderne Androids" gefoelich wêze koe.
Yn testen mei TOTP-koades hat de oanfal de hiele koade weromhelle mei snelheden fan sawat 73%, 53%, 29% en 53% op Pixel 6, 7, 8 en 9, respektivelik, en yn gemiddelde tiden tichtby 14,3s; 25,8s; 24,9s en 25,3s, wêrtroch jo foarút kinne komme op it ferrinnen fan tydlike koades.
Hokker gegevens kinne falle
Dêrnjonken autentikaasjekoades (Google Authenticator), ûndersikers lieten sjen dat ynformaasje weromhelle waard fan tsjinsten lykas Gmail- en Google-akkounts, berjochten-apps lykas Signal, finansjele platfoarms lykas Venmo of lokaasjegegevens fan Google Mapsûnder oaren.
Se warskôgje jo ek foar gegevens dy't langer op it skerm bliuwe, lykas útdrukkings foar it herstellen fan in wallet of ienmalige kaaien; opsleine mar net sichtbere eleminten (bygelyks in geheime kaai dy't nea werjûn wurdt) falle lykwols bûten it berik fan Pixnapping.
Google-antwurd en patchstatus
De fynst waard fan tefoaren oan Google kommunisearre, dy't it probleem as tige earnstich markearre en in earste mitigaasje publisearre dy't ferbûn wie mei CVE-2025-48561Undersykers hawwe lykwols metoaden fûn om it te ûntkommen, sadat In de nijsbrief fan desimber is in ekstra patch tasein en koördinaasje mei Google en Samsung wurdt ûnderhâlden.
De hjoeddeiske situaasje suggerearret dat in definitive blokkade in resinsje fereasket fan hoe't Android omgiet rendering en overlays tusken applikaasjes, om't de oanfal krekt dy ynterne meganismen eksploitearret.
Oanrikkemandearre mitigaasjemaatregels
Foar einbrûkers is it oan te rieden om de bleatstelling fan gefoelige gegevens op it skerm te ferminderjen en te kiezen foar phishing-resistinte autentikaasje en sydkanalen, lykas FIDO2/WebAuthn mei befeiligingssleutels, wêrby't mooglik allinnich ôfhinklik is fan TOTP-koades.
- Hâld jo apparaat by de tiid en tapasse feiligensbulletins sa gau as se beskikber wurde.
- Foarkom it ynstallearjen fan apps fan net-ferifiearre boarnen en tagongsrjochten en ôfwikend gedrach kontrolearje.
- Hâld herstelfrasen of ynloggegevens net sichtber; leaver hardware wallets kaaien te bewaken.
- Fergrendel it skerm fluch en foarbylden fan gefoelige ynhâld beheine.
Foar produkt- en ûntwikkelingsteams is it tiid om autentikaasjestreamen kontrolearje en ferminderje bleatstellingsoerflak: minimalisearje geheime tekst op it skerm, yntrodusearje ekstra beskermingen yn krityske werjeften en evaluearje de oergong nei koadefrije metoaden hardware-basearre.
Hoewol de oanfal fereasket dat de ynformaasje sichtber is, is syn fermogen om te operearjen sûnder tastimming en yn minder as in heale minút makket it in serieuze bedriging: in sydkanaaltechnyk dy't gebrûk makket fan 'e GPU-renderingtiden om te lêzen wat jo op it skerm sjogge, mei hjoed dielde mitigaasjes en in djippere oplossing yn ôfwachting.
Ik bin in technology-entûsjast dy't syn "geek" ynteresses hat omset yn in berop. Ik haw mear as 10 jier fan myn libben bestege oan it brûken fan moderne technology en oan allerhande programma's út pure nijsgjirrigens te tinken. No haw ik my spesjalisearre yn kompjûtertechnology en fideospultsjes. Dit is om't ik mear dan 5 jier wurke oan skriuwen foar ferskate websiden oer technology en fideospultsjes, artikels oanmeitsje dy't besykje jo de ynformaasje te jaan dy't jo nedich binne yn in taal dy't elkenien begrypt.
As jo fragen hawwe, rint myn kennis fan alles relatearre oan it Windows-bestjoeringssysteem as Android foar mobile tillefoans. En myn ynset is foar jo, ik bin altyd ree om in pear minuten te besteegjen en jo te helpen mei it oplossen fan alle fragen dy't jo hawwe yn dizze ynternetwrâld.