Pixnapping: slepens uzbrukums, kas uztver to, ko redzat operētājsistēmā Android

Pētnieku komanda ir atklājusi Pikseļu fotografēšana, Viena Uzbrukuma tehnika pret Android tālruņiem, kas spēj uztvert ekrānā redzamo un iegūt privātus datus piemēram, 2FA kodus, ziņojumus vai atrašanās vietas dažu sekunžu laikā un neprasot atļauju.

Galvenais ir ļaunprātīgi izmantot noteiktus sistēmas API un a GPU sānu kanāls lai secinātu redzamo pikseļu saturu; process ir neredzams un efektīvs, kamēr informācija paliek redzama, kamēr Noslēpumus, kas nav redzami ekrānā, nevar nozagt.Google ir ieviesis mazināšanas pasākumus, kas saistīti ar CVE-2025-48561, taču atklājuma autori ir nodemonstrējuši izvairīšanās ceļus, un decembra Android drošības biļetenā ir gaidāms papildu pastiprinājums.

Kas ir Pixnapping un kāpēc tas rada bažas?

Nosaukums apvieno “pikseļus” un “nolaupīšanu” jo uzbrukums burtiski rada "Pikseļu nolaupīšana" lai rekonstruētu informāciju, kas tiek rādīta citās lietotnēs. Tā ir pirms gadiem pārlūkprogrammās izmantoto sānu kanālu metožu evolūcija, kas tagad ir pielāgota mūsdienu Android ekosistēmai ar vienmērīgāku un klusāku izpildi.

Tā kā tam nav nepieciešamas īpašas atļaujas, Pixnapping izvairās no aizsardzības, kuras pamatā ir atļauju modelis un darbojas gandrīz nemanāmi, kas palielina risku lietotājiem un uzņēmumiem, kuri daļu savas drošības paļaujas uz to, kas īslaicīgi parādās ekrānā.

Kā tiek izpildīts uzbrukums

Vispārīgi runājot, ļaunprātīgā lietotne organizē pārklājošās aktivitātes un sinhronizē renderēšanu, lai izolētu konkrētas saskarnes zonas, kurās tiek parādīti sensitīvi dati; pēc tam pikseļu apstrādes laikā izmanto laika atšķirību, lai secinātu to vērtību (skatiet, kā Jaudas profili ietekmē FPS).

• Liek mērķa lietotnei parādīt datus (piemēram, 2FA kods vai sensitīvs teksts).
• Slēpj visu, izņemot interesējošo apgabalu, un manipulē ar renderēšanas rāmi tā, lai viens pikselis "dominētu".
• Interpretē GPU apstrādes laikus (piemēram, GPU.zip tipa fenomens) un rekonstruē saturu.

Ar atkārtošanas un sinhronizācijas palīdzību ļaunprogrammatūra secina rakstzīmes un saliek tās atpakaļ, izmantojot OCR paņēmieniLaika logs ierobežo uzbrukumu, bet, ja dati paliek redzami dažas sekundes, atkopšana ir iespējama.

Darbības joma un skartās ierīces

Akadēmiķi pārbaudīja tehniku Google Pixel 6, 7, 8 un 9 un Samsung Galaxy S25, ar Android versijām no 13 līdz 16. Tā kā izmantotās API ir plaši pieejamas, viņi brīdina, ka "gandrīz visi mūsdienu androīdi" varētu būt uzņēmīgs.

Testos ar TOTP kodiem uzbrukums atjaunoja visu kodu ar aptuveni 73%, 53%, 29% un 53% attiecīgi Pixel 6, 7, 8 un 9 tālruņos, un vidēji laikā, kas ir tuvu 14,3 s; 25,8 s; 24,9 s un 25,3 s, ļaujot jums apsteigt pagaidu kodu derīguma termiņa beigas.

Kādi dati var nokrist

Además de autentifikācijas kodi (Google Authenticator)pētnieki parādīja informācijas atgūšanu no tādiem pakalpojumiem kā Gmail un Google konti, ziņojumapmaiņas lietotnēm, piemēram, Signal, finanšu platformām, piemēram, Venmo, vai atrašanās vietas datiem no Google Maps, Starp citiem.

Tie arī brīdina par datiem, kas ilgāku laiku paliek ekrānā, piemēram, maka atkopšanas frāzes vai vienreizējas atslēgas; tomēr saglabātie, bet neredzamie elementi (piemēram, slepenā atslēga, kas nekad netiek parādīta) neietilpst Pixnapping darbības jomā.

Google atbilde un ielāpa statuss

Atklājums tika iepriekš paziņots uzņēmumam Google, kas problēmu novērtēja kā ļoti nopietnu un publicēja sākotnējos risināšanas pasākumus, kas saistīti ar CVE-2025-48561Tomēr pētnieki atrada metodes, kā no tā izvairīties, tāpēc Decembra informatīvajā biļetenā ir solīts papildu ielāps. un tiek uzturēta koordinācija ar Google un Samsung.

Pašreizējā situācija liecina, ka galīgai bloķēšanai būs jāpārskata, kā Android rīkojas renderēšana un pārklājumi starp lietojumprogrammām, jo ​​uzbrukums izmanto tieši šos iekšējos mehānismus.

Ieteicamie mazināšanas pasākumi

Galalietotājiem ieteicams samazināt sensitīvu datu redzamību ekrānā un izvēlēties pret pikšķerēšanu aizsargātu autentifikāciju un papildu kanālus, piemēram, FIDO2/WebAuthn ar drošības atslēgām, kad vien iespējams, izvairoties no paļaušanās tikai uz TOTP kodiem.

• Atjauniniet savu ierīci un piemērot drošības biļetenus, tiklīdz tie kļūst pieejami.
• Izvairieties no lietotņu instalēšanas no nepārbaudīti avoti un pārskatīt atļaujas un anomālu uzvedību.
• Neturiet atkopšanas frāzes vai akreditācijas datus redzamā vietā; dodiet priekšroku aparatūras maki lai sargātu atslēgas.
• Ātri bloķējiet ekrānu un ierobežot sensitīva satura priekšskatījumus.

Produktu un izstrādes komandām ir pienācis laiks pārskatīt autentifikācijas plūsmas un samazināt ekspozīcijas virsmu: samazināt slepenā teksta daudzumu ekrānā, ieviest papildu aizsardzību kritiskos skatos un novērtēt pāreju uz metodes bez koda uz aparatūras bāzes.

Lai gan uzbrukumam ir nepieciešams, lai informācija būtu redzama, tās spēja darboties bez atļaujas un mazāk nekā pusminūtes laikā padara to par nopietnu draudu: sānu kanāla tehnika, kas izmanto GPU renderēšanas laiki lai lasītu ekrānā redzamo, ar daļējiem uzlabojumiem šodien un dziļāka risinājuma gaidīšanu.

saistīto rakstu:

Galaxy S26 Ultra: Lūk, kā izskatīsies jaunais privātuma ekrāns

Alberto navarro

Esmu tehnoloģiju entuziasts, kurš savas "geek" intereses ir pārvērtis profesijā. Es esmu pavadījis vairāk nekā 10 gadus no savas dzīves, izmantojot jaunākās tehnoloģijas un tīri ziņkārības vadīts ar visu veidu programmām. Tagad esmu specializējies datortehnoloģijās un videospēlēs. Tas ir tāpēc, ka vairāk nekā 5 gadus esmu rakstījis dažādām tīmekļa vietnēm par tehnoloģijām un videospēlēm, veidojot rakstus, kuru mērķis ir sniegt jums nepieciešamo informāciju ikvienam saprotamā valodā.

Ja jums ir kādi jautājumi, manas zināšanas svārstās no visa, kas saistīts ar Windows operētājsistēmu, kā arī Android mobilajiem tālruņiem. Un mana apņemšanās ir jums, es vienmēr esmu gatavs veltīt dažas minūtes un palīdzēt jums atrisināt visus jautājumus, kas jums varētu rasties šajā interneta pasaulē.