- Faodaidh Pixnapping còdan 2FA agus dàta eile air an sgrion a ghoid ann an nas lugha na 30 diog gun chead.
- Bidh e ag obair le bhith a’ dèanamh ana-cleachdadh air APIan Android agus seanal taobh GPU gus piogsail a thoirt a-mach à aplacaidean eile.
- Air a dhearbhadh air Pixel 6-9 agus Galaxy S25; chan eil am pasgan tùsail (CVE-2025-48561) ga bhacadh gu tur.
- Thathar a’ moladh FIDO2/WebAuthn a chleachdadh, dàta mothachail air an sgrion a lughdachadh, agus aplacaidean bho thùsan amharasach a sheachnadh.
Tha sgioba de luchd-rannsachaidh air nochdadh Pixnapping, aon Dòigh-obrach ionnsaigh an aghaidh fònaichean Android comasach air glacadh na tha air a thaisbeanadh air an sgrion agus dàta prìobhaideach a thoirt a-mach leithid còdan 2FA, teachdaireachdan no àiteachan ann an diogan agus gun chead iarraidh.
Is e an iuchair droch dhìol a dhèanamh air APIan siostaim sònraichte agus a Sianal taobh GPU gus susbaint nam piogsail a chì thu a thomhas; tha am pròiseas do-fhaicsinneach agus èifeachdach fhad ‘s a tha am fiosrachadh ri fhaicinn, fhad ‘s a tha Chan urrainnear dìomhaireachdan nach eil air an taisbeanadh air an sgrion a ghoidTha Google air lasachaidhean a thoirt a-steach co-cheangailte ri CVE-2025-48561, ach tha ùghdaran an lorg air slighean seachnaidh a nochdadh, agus thathar an dùil ri tuilleadh neartachaidh ann am brath-naidheachd tèarainteachd Android san Dùbhlachd.
Dè a th’ ann am Pixnapping agus carson a tha e na adhbhar dragh?
An t-ainm a’ cothlamadh “pixel” agus “fuadach” oir tha an ionnsaigh gu litireil a’ dèanamh “goid piogsail” gus fiosrachadh a nochdas ann an aplacaidean eile ath-chruthachadh. ’S e mean-fhàs a th’ ann de dhòighean-obrach seanail-taobh a chaidh a chleachdadh o chionn bhliadhnaichean ann am brobhsairean, a tha a-nis air an atharrachadh gu eag-shiostam Android an latha an-diugh le coileanadh nas socair agus nas sàmhaiche.
Leis nach eil feum air ceadan sònraichte, Bidh Pixnapping a’ seachnadh dìonan stèidhichte air a’ mhodail cead agus ag obair cha mhòr do-fhaicsinneach, a tha ag àrdachadh a’ chunnart do luchd-cleachdaidh agus companaidhean a tha an urra ri pàirt den tèarainteachd aca air na nochdas air an sgrion airson ùine ghoirid.
Mar a thèid an ionnsaigh a chur an gnìomh
San fharsaingeachd, bidh an aplacaid droch-rùnach a’ cur air dòigh gnìomhan a tha a’ dol thairis air a chèile agus a’ sioncronachadh tairgse gus raointean sònraichte den eadar-aghaidh a sgaradh far a bheil dàta mothachail air a thaisbeanadh; an uairsin a’ cleachdadh an eadar-dhealachaidh tìm nuair a thathar a’ giullachd piogsail gus an luach aca a thomhas (faic mar a tha Bidh pròifilean cumhachd a’ toirt buaidh air FPS).
- A’ toirt air an aplacaid targaid an dàta a thaisbeanadh (mar eisimpleir, còd 2FA no teacsa mothachail).
- A’ falach a h-uile càil ach a-mhàin an raon ùidh agus a’ làimhseachadh frèam an reandraidh gus am bi aon piogsail “a’ faighinn làmh an uachdair”.
- A’ mìneachadh amannan giullachd GPU (m.e. feallsanachd den t-seòrsa GPU.zip) agus ag ath-thogail an t-susbaint.
Le ath-aithris agus sioncronachadh, bidh an malware a’ toirt a-mach caractaran agus gan ath-chruinneachadh le bhith a’ cleachdadh Dòighean-obrach OCRTha an uinneag ùine a’ cuingealachadh an ionnsaigh, ach ma dh’fhanas an dàta ri fhaicinn airson beagan dhiog, tha e comasach faighinn seachad air.
Raon-obrach agus innealan air a bheil buaidh
Dhearbh na h-acadaimigich an dòigh-obrach ann an Google Pixel 6, 7, 8 agus 9 agus anns a ' Samsung Galaxy S25, le dreachan Android 13 gu 16. Leis gu bheil na APIan a chaidh an cleachdadh rim faighinn gu farsaing, tha iad a’ toirt rabhadh sin “cha mhòr a h-uile Android ùr-nodha” dh’ fhaodadh a bhith so-leònte.
Ann an deuchainnean le còdan TOTP, fhuair an ionnsaigh air ais an còd gu lèir le ìrean de mu 73%, 53%, 29% agus 53% air Pixel 6, 7, 8 agus 9, fa leth, agus ann an amannan cuibheasach faisg air 14,3 diogan; 25,8 diogan; 24,9 diogan agus 25,3 diogan, a’ leigeil leat faighinn air thoiseach air ceann-latha crìochnachaidh chòdan sealach.
Dè an dàta a dh’ fhaodadh tuiteam
A bharrachd air còdan dearbhaidh (Google Authenticator), sheall luchd-rannsachaidh gun deach fiosrachadh fhaighinn air ais bho sheirbheisean leithid cunntasan Gmail is Google, aplacaidean teachdaireachd leithid Signal, àrd-ùrlaran ionmhais leithid Venmo no dàta àite bho Google Maps, am measg feadhainn eile.
Bidh iad cuideachd a’ toirt rabhadh dhut mu dhàta a dh’fhanas air an sgrion airson ùine nas fhaide, leithid abairtean ath-bheothachaidh wallet no iuchraichean aon-ùine; ge-tà, tha eileamaidean a tha air an stòradh ach nach eil rim faicinn (me, iuchair dhìomhair nach tèid a shealltainn a-riamh) taobh a-muigh raon Pixnapping.
Freagairt Google agus Inbhe Paiste
Chaidh an lorg innse do Google ro-làimh, a chomharraich a’ chùis mar rud gu math dona agus a dh’fhoillsich ceumannan lughdachadh tùsail co-cheangailte ri CVE-2025-48561Ach, lorg luchd-rannsachaidh dòighean air a sheachnadh, agus mar sin Chaidh pasgan a bharrachd a ghealltainn anns a’ chuairt-litir san Dùbhlachd agus tha co-òrdanachadh le Google agus Samsung air a chumail suas.
Tha an suidheachadh làithreach a’ moladh gum bi feum air ath-sgrùdadh air mar a bhios Android a’ dèiligeadh ri bloc deimhinnte. tairgse agus còmhdachaidhean eadar tagraidhean, leis gu bheil an ionnsaigh a’ cleachdadh nan dòighean-obrach a-staigh sin gu dìreach.
Ceumannan lughdachadh a thathar a’ moladh
Do luchd-cleachdaidh deireannach, tha e ciallach lùghdachadh a dhèanamh air nochdadh dàta mothachail air an sgrion agus dearbhadh a tha an aghaidh fiosgaich agus seanalan taobh a thaghadh, leithid FIDO2/WebAuthn le iuchraichean tèarainteachd, a’ seachnadh a bhith an urra ri còdan TOTP a-mhàin nuair as urrainnear.
- Cùm an inneal ùraichte agus cuir fiosan tèarainteachd an sàs cho luath ‘s a bhios iad rim faighinn.
- Seachain a bhith a’ stàladh aplacaidean bho stòran neo-dhearbhaichte agus ceadan agus giùlan neo-àbhaisteach ath-sgrùdadh.
- Na cùm abairtean no teisteanasan ath-bheothachaidh rim faicinn; is fheàrr leat sporanan bathar-cruaidh gus na h-iuchraichean a dhìon.
- Glasaich an sgrion gu sgiobalta agus ro-sheallaidhean de shusbaint mothachail a chuingealachadh.
Airson sgiobaidhean toraidh is leasachaidh, tha an t-àm ann sruthan dearbhaidh ath-sgrùdadh agus uachdar nochdaidh a lughdachadh: teacsa dìomhair air an sgrion a lughdachadh, dìonan a bharrachd a thoirt a-steach ann an seallaidhean èiginneach agus an gluasad gu measadh a dhèanamh dòighean gun chòd stèidhichte air bathar-cruaidh.
Ged a dh’fheumas an ionnsaigh am fiosrachadh a bhith ri fhaicinn, tha a comas obrachadh gun chead agus ann an nas lugha na leth-mhionaid ga dhèanamh na chunnart mòr: dòigh-obrach seanail taobh a bhios a’ gabhail brath air an Amannan tairgse GPU gus na chì thu air an sgrion a leughadh, le lasachaidhean pàirteach an-diugh agus càradh nas doimhne ri thighinn.
Tha mi dèidheil air teicneòlas a tha air na h-ùidhean “geek” aige a thionndadh gu dreuchd. Tha mi air còrr air 10 bliadhna de mo bheatha a chuir seachad a’ cleachdadh teicneòlas ùr-nodha agus a’ tinkering le gach seòrsa prògram a-mach à fìor fheòrachas. A-nis tha mi air speisealachadh ann an teicneòlas coimpiutair agus geamannan bhidio. Tha seo air sgàth gu bheil mi airson còrr is 5 bliadhna air a bhith a’ sgrìobhadh airson diofar làraich-lìn air teicneòlas agus geamannan bhidio, a’ cruthachadh artaigilean a bhios a’ feuchainn ris an fhiosrachadh a tha a dhìth ort a thoirt dhut ann an cànan a tha furasta a thuigsinn don h-uile duine.
Ma tha ceist sam bith agad, tha an t-eòlas agam a’ dol bho gach nì co-cheangailte ri siostam-obrachaidh Windows a bharrachd air Android airson fònaichean-làimhe. Agus tha mo dhealas dhut, tha mi an-còmhnaidh deònach beagan mhionaidean a chaitheamh agus do chuideachadh le bhith a’ fuasgladh cheistean sam bith a dh’ fhaodadh a bhith agad san t-saoghal eadar-lìn seo.