- Pixnapping нь зөвшөөрөлгүйгээр 30 секундээс бага хугацаанд 2FA код болон дэлгэц дээрх бусад мэдээллийг хулгайлах боломжтой.
- Энэ нь Android API болон GPU-ийн хажуугийн сувгийг ашиглан бусад програмын пикселийг тооцоолох замаар ажилладаг.
- Pixel 6-9 болон Galaxy S25 дээр туршиж үзсэн; Эхний нөхөөс (CVE-2025-48561) үүнийг бүрэн хаадаггүй.
- FIDO2/WebAuthn ашиглах, дэлгэцэн дээрх эмзэг мэдээллийг багасгах, эргэлзээтэй эх сурвалжийн программаас зайлсхийхийг зөвлөж байна.
Судлаачдын баг тодрууллаа Pixnapping, una Дэлгэц дээр гарч буй зүйлийг авч, хувийн мэдээллийг задлах чадвартай Android утаснуудын эсрэг довтлох арга 2FA код, мессеж эсвэл байршил зэрэг хэдхэн секундын дотор зөвшөөрөл хүсэхгүйгээр.
Гол нь тодорхой системийн API-г буруугаар ашиглах явдал юм GPU талын суваг Таны харж буй пикселийн агуулгыг гаргах; Мэдээлэл нь харагдахуйц хэвээр байвал үйл явц нь үл үзэгдэх бөгөөд үр дүнтэй байдаг Дэлгэц дээр харагдахгүй нууцыг хулгайлах боломжгүй. Google-тэй холбоотой бууруулах арга хэмжээг нэвтрүүлсэн CVE-2025-48561, гэхдээ нээлтийн зохиогчид зайлсхийх арга замуудыг харуулсан бөгөөд 12-р сарын Android аюулгүй байдлын эмхэтгэлд нэмэлт нэмэлт өөрчлөлт оруулах төлөвтэй байна.
Pixnapping гэж юу вэ, яагаад энэ нь санаа зовоож байна вэ?
El nombre "пиксел" болон "хулгайлах" хоёрыг хослуулсан. учир нь халдлага нь шууд утгаараа a болгодог "пиксел хулгайлах" бусад аппликешн дээр гарч буй мэдээллийг сэргээх. Энэ нь хөтчүүдэд олон жилийн өмнө хэрэглэгдэж байсан хажуугийн сувгийн техникүүдийн хувьсал бөгөөд одоо орчин үеийн Android экосистемд дасан зохицож, илүү зөөлөн, чимээгүй ажилладаг.
Энэ нь тусгай зөвшөөрөл шаарддаггүй тул Pixnapping нь зөвшөөрлийн загвар болон дээр суурилсан хамгаалалтаас зайлсхийдэг бараг үл үзэгдэх байдлаар ажилладаг, энэ нь аюулгүй байдлынхаа нэг хэсгийг дэлгэцэн дээр гарч ирэх зүйл дээр тулгуурладаг хэрэглэгчид болон компаниудын эрсдлийг нэмэгдүүлдэг.
Довтолгоог хэрхэн гүйцэтгэдэг
Ерөнхийдөө хорлонтой програм нь a давхардсан үйл ажиллагаа эмзэг өгөгдлийг харуулсан интерфэйсийн тодорхой хэсгийг тусгаарлахын тулд дүрслэлийг синхрончлох; Дараа нь пикселийг боловсруулахдаа цаг хугацааны зөрүүг ашиглан тэдгээрийн утгыг гаргадаг (хэрхэн гэдгийг үзнэ үү Эрчим хүчний профайл нь FPS-д нөлөөлдөг).
- Зорилтот програмыг өгөгдлийг харуулахад хүргэдэг (жишээ нь, 2FA код эсвэл эмзэг текст).
- Сонирхлын хэсгээс бусад бүх зүйлийг нууж, дүрслэх хүрээг удирдаж, нэг пиксел "давамгайлах" болно.
- GPU боловсруулах хугацааг тайлбарладаг (жишээ нь: GPU.zip төрлийн үзэгдэл) мөн агуулгыг дахин бүтээдэг.
Дахин давтах болон синхрончлолын тусламжтайгаар хортой програм нь тэмдэгтүүдийг гаргаж, тэдгээрийг ашиглан дахин угсардаг OCR техникЦагийн цонх нь халдлагыг хязгаарладаг боловч хэрэв өгөгдөл хэдхэн секундын турш харагдвал сэргээх боломжтой.
Хамрах хүрээ ба нөлөөлөлд өртсөн төхөөрөмжүүд
Эрдэмтэд техникийг баталгаажуулсан Google Pixel 6, 7, 8, 9 y en el Samsung Galaxy S25, Андройдын 13-аас 16 хүртэлх хувилбартай. Ашигласан API-ууд өргөн боломжтой тул тэд анхааруулж байна. "Бараг бүх орчин үеийн Андройдууд" мэдрэмтгий байж болно.
TOTP кодтой туршилтын үеэр халдлага нь кодыг бүхэлд нь ойролцоогоор дахин сэргээсэн 73%, 53%, 29%, 53% Pixel 6, 7, 8 болон 9 дээр тус тус, дундаж хугацаанд ойролцоо байна 14,3 секунд; 25,8 секунд; 24,9 ба 25,3 секунд, түр кодын хугацаа дуусахаас өмнө авах боломжийг танд олгоно.
Ямар өгөгдөл унаж болох вэ
Үүнээс гадна баталгаажуулалтын кодууд (Google Authenticator), судлаачид Gmail болон Google акаунт, Signal гэх мэт мессежийн програмууд, Venmo зэрэг санхүүгийн платформууд эсвэл байршлын мэдээллээс мэдээллийг сэргээхийг харуулсан. Google газрын зураг, entre otros.
Тэд мөн дэлгэцэн дээр удаан хугацаагаар үлдэх өгөгдлийн талаар сэрэмжлүүлдэг түрийвч сэргээх хэллэгүүд эсвэл нэг удаагийн түлхүүр; Гэсэн хэдий ч хадгалагдсан боловч харагдахгүй элементүүд (жишээ нь, хэзээ ч харагдахгүй нууц түлхүүр) нь Pixnapping-ийн хамрах хүрээнээс гадуур байна.
Google-ийн хариу үйлдэл болон засварын төлөв
Судалгааны үр дүнг Google-д урьдчилан мэдэгдсэн бөгөөд энэ нь уг асуудлыг ноцтой гэж тэмдэглэж, дараахтай холбоотой анхны арга хэмжээг нийтэлсэн. CVE-2025-48561Гэсэн хэдий ч судлаачид үүнээс зайлсхийх аргуудыг олсон, тиймээс 12-р сарын мэдээллийн товхимолд нэмэлт засварыг амласан мөн Google болон Samsung-тай хамтран ажиллаж байна.
Одоогийн нөхцөл байдал нь тодорхой блоклоход Android хэрхэн ажилладагийг хянах шаардлагатай байгааг харуулж байна дүрслэх, давхарлах програмуудын хооронд, учир нь халдлага нь яг тэр дотоод механизмуудыг ашигладаг.
Санал болгож буй нөлөөллийг бууруулах арга хэмжээ
Эцсийн хэрэглэгчдийн хувьд дэлгэцэн дээрх эмзэг мэдээллийн өртөлтийг багасгаж, фишингэнд тэсвэртэй нэвтрэлт танилт болон хажуугийн сувгуудыг сонгохыг зөвлөж байна. Аюулгүй байдлын түлхүүр бүхий FIDO2/WebAuthn, боломжтой бол зөвхөн TOTP кодыг ашиглахаас зайлсхий.
- Төхөөрөмжийг шинэчилж байгаарай аюулгүй байдлын эмхэтгэлийг бэлэн болсон даруйд нь хэрэглээрэй.
- -аас програм суулгахаас зайлсхий баталгаажаагүй эх сурвалжууд мөн зөвшөөрөл болон хэвийн бус зан үйлийг хянан үзэх.
- Сэргээх хэллэг эсвэл итгэмжлэлийг харагдахгүй байлгах; илүүд үздэг тоног төхөөрөмжийн түрийвч түлхүүрүүдийг хамгаалах.
- Дэлгэцийг хурдан түгжих мөн эмзэг контентыг урьдчилан үзэхийг хязгаарлах.
Бүтээгдэхүүн, хөгжүүлэлтийн багуудын хувьд хийх цаг нь болсон баталгаажуулалтын урсгалыг шалгах болон өртөх гадаргууг багасгах: дэлгэцэн дээрх нууц бичвэрийг багасгах, чухал харагдацад нэмэлт хамгаалалтыг нэвтрүүлэх, шилжилтийг үнэлэх. кодгүй аргууд техник хангамжид суурилсан.
Хэдийгээр халдлага нь мэдээллийг харагдахуйц байхыг шаарддаг ч түүний ажиллах чадвар зөвшөөрөлгүй, хагас минут хүрэхгүй хугацаанд үүнийг ноцтой аюул болгож байна: давуу талыг ашигладаг хажуугийн суваг техник GPU үзүүлэх хугацаа Өнөөдөр хэсэгчлэн багасгаж, илүү гүнзгий засвар хүлээж байгаа тул дэлгэцэн дээр харж буй зүйлээ унших боломжтой.
Би өөрийн "геек" сонирхлоо мэргэжил болгож чадсан технологи сонирхогч хүн. Би амьдралынхаа 10 гаруй жилийг хамгийн сүүлийн үеийн технологи ашиглан, бүх төрлийн программыг сониуч зандаа зориулж өнгөрүүлсэн. Одоо би компьютерийн технологи, видео тоглоомоор мэргэшсэн. Учир нь би 5-аас дээш жил технологи, видео тоглоомын талаар янз бүрийн вэб сайтуудад зориулж, танд хэрэгтэй мэдээллийг хүн бүрт ойлгомжтой хэлээр өгөхийг зорьсон нийтлэлүүдийг бүтээж байна.
Хэрэв танд асуулт байгаа бол миний мэдлэг Windows үйлдлийн систем, гар утсанд зориулсан Android-тай холбоотой бүх зүйлээс хамаарна. Мөн миний амлалт бол таны өмнө, би үргэлж хэдэн минут зарцуулж, энэ интернет ертөнцөд байгаа бүх асуултыг шийдвэрлэхэд тань туслахад бэлэн байна.