- Pixnapping jista' jisraq kodiċijiet 2FA u dejta oħra fuq l-iskrin f'inqas minn 30 sekonda mingħajr permess.
- Jaħdem billi jabbuża mill-APIs tal-Android u minn kanal tal-ġenb tal-GPU biex jiddeduċi l-pixels minn apps oħra.
- Ittestjat fuq Pixel 6-9 u Galaxy S25; il-garża inizjali (CVE-2025-48561) ma timblokkahx għalkollox.
- Huwa rakkomandat li tuża FIDO2/WebAuthn, timminimizza d-dejta sensittiva fuq l-iskrin, u tevita apps minn sorsi dubjużi.
Tim ta’ riċerkaturi żvela Pixnapping, Wieħed Teknika ta' attakk kontra telefowns Android kapaċi jaqbdu dak li jintwera fuq l-iskrin u jiġbdu dejta privata bħal kodiċijiet 2FA, messaġġi jew postijiet fi ftit sekondi u mingħajr ma titlob permess.
Iċ-ċavetta hija li tabbuża minn ċerti APIs tas-sistema u Kanal tal-ġenb tal-GPU biex tiddeduċi l-kontenut tal-pixels li tara; il-proċess huwa inviżibbli u effettiv sakemm l-informazzjoni tibqa' viżibbli, filwaqt li Sigrieti li ma jidhrux fuq l-iskrin ma jistgħux jinsterquGoogle introduċiet mitigazzjonijiet assoċjati ma' CVE-2025-48561, iżda l-awturi tal-iskoperta wrew mogħdijiet ta' evażjoni, u aktar tisħiħ huwa mistenni fil-bullettin tas-sigurtà ta' Android ta' Diċembru.
X'inhu Pixnapping u għaliex huwa ta' tħassib?
Isem jgħaqqad “pixel” u “ħtif” għax l-attakk litteralment jagħmel "ħtif ta' pixels" biex jirrikonstrwixxi informazzjoni li tidher f'apps oħra. Hija evoluzzjoni tat-tekniki tal-kanal sekondarju użati snin ilu fil-browsers, issa adattati għall-ekosistema Android moderna b'eżekuzzjoni aktar bla xkiel u kwieta.
Peress li ma jeħtieġx permessi speċjali, Pixnapping jevita difiżi bbażati fuq il-mudell tal-permess u jopera kważi b'mod inviżibbli, li jżid ir-riskju għall-utenti u l-kumpaniji li jiddependu parti mis-sigurtà tagħhom fuq dak li jidher malajr fuq l-iskrin.
Kif jiġi eżegwit l-attakk
B'mod ġenerali, l-app malizzjuża torkestra attivitajiet li jikkoinċidu u jissinkronizza r-rendering biex jiżola żoni speċifiċi tal-interfaċċja fejn tintwera dejta sensittiva; imbagħad jisfrutta d-differenza fil-ħin meta jipproċessa l-pixels biex jiddeduċi l-valur tagħhom (ara kif Il-profili tal-qawwa jaffettwaw l-FPS).
- Jikkawża li l-app fil-mira turi d-dejta (pereżempju, kodiċi 2FA jew test sensittiv).
- Jaħbi kollox ħlief iż-żona ta' interess u jimmanipula l-qafas tar-rendering sabiex pixel wieħed "jiddomina".
- Jinterpreta l-ħinijiet tal-ipproċessar tal-GPU (eż. fenomenu tat-tip GPU.zip) u jirrikonstrwixxi l-kontenut.
Bir-ripetizzjoni u s-sinkronizzazzjoni, il-malware jiddeduċi l-karattri u jerġa' jgħaqqadhom billi juża Tekniki OCRIt-tieqa tal-ħin tillimita l-attakk, iżda jekk id-dejta tibqa' viżibbli għal ftit sekondi, l-irkupru huwa possibbli.
Ambitu u apparati affettwati
L-akkademiċi vverifikaw it-teknika fi Google Pixel 6, 7, 8 u 9 u fil - Samsung Galaxy S25, bil-verżjonijiet Android 13 sa 16. Peress li l-APIs sfruttati huma disponibbli b'mod wiesa', huma jwissu li "kważi l-Androids moderni kollha" jistgħu jkunu suxxettibbli.
Fit-testijiet bil-kodiċijiet TOTP, l-attakk irkupra l-kodiċi kollu b'rati ta' madwar 73%, 53%, 29% u 53% fuq Pixel 6, 7, 8 u 9, rispettivament, u f'ħinijiet medji qrib 14,3s; 25,8s; 24,9s u 25,3s, li jippermettilek tavvanza qabel l-iskadenza tal-kodiċijiet temporanji.
Liema dejta tista' taqa'
Minbarra kodiċijiet ta' awtentikazzjoni (Google Authenticator), ir-riċerkaturi wrew irkupru ta’ informazzjoni minn servizzi bħal Gmail u kontijiet ta’ Google, apps ta’ messaġġi bħal Signal, pjattaformi finanzjarji bħal Venmo jew dejta dwar il-lokazzjoni minn Google Maps, Fost oħrajn.
Javżak ukoll dwar dejta li tibqa' fuq l-iskrin għal perjodi itwal ta' żmien, bħal frażijiet ta' rkupru tal-kartiera jew ċwievet ta' darba; madankollu, elementi maħżuna iżda mhux viżibbli (eż., ċavetta sigrieta li qatt ma tintwera) huma lil hinn mill-ambitu ta' Pixnapping.
Rispons ta' Google u Status tal-Garża
Is-sejba ġiet ikkomunikata minn qabel lil Google, li ttikkettat il-kwistjoni bħala ta’ severità għolja u ppubblikat mitigazzjoni inizjali assoċjata ma’ CVE-2025-48561Madankollu, ir-riċerkaturi sabu metodi biex jevitawh, għalhekk Garża addizzjonali ġiet imwiegħda fin-newsletter ta' Diċembru. u l-koordinazzjoni ma’ Google u Samsung tinżamm.
Is-sitwazzjoni attwali tissuġġerixxi li imblokk definittiv se jirrikjedi reviżjoni ta' kif Android jimmaniġġja rendering u overlays bejn l-applikazzjonijiet, peress li l-attakk jisfrutta preċiżament dawk il-mekkaniżmi interni.
Miżuri ta' mitigazzjoni rakkomandati
Għall-utenti finali, huwa rakkomandabbli li titnaqqas l-espożizzjoni ta' dejta sensittiva fuq l-iskrin u li wieħed jagħżel awtentikazzjoni reżistenti għall-phishing u kanali sekondarji, bħal FIDO2/WebAuthn b'ċwievet tas-sigurtà, billi tiġi evitata dipendenza esklussiva fuq il-kodiċijiet TOTP kull meta jkun possibbli.
- Żomm it-tagħmir tiegħek aġġornat u applika l-bullettini tas-sigurtà hekk kif isiru disponibbli.
- Evita li tinstalla apps minn sorsi mhux verifikati u tirrevedi l-permessi u l-imġiba anomala.
- Tħallix frażijiet jew kredenzjali ta' rkupru viżibbli; ippreferi kartieri tal-ħardwer biex tħares iċ-ċwievet.
- Illokkja l-iskrin malajr u tillimita l-previews ta' kontenut sensittiv.
Għat-timijiet tal-prodott u tal-iżvilupp, wasal iż-żmien li reviżjoni tal-flussi tal-awtentikazzjoni u tnaqqas il-wiċċ ta' espożizzjoni: imminimizza t-test sigriet fuq l-iskrin, introduċi protezzjonijiet addizzjonali f'veduti kritiċi u evalwa t-tranżizzjoni għal metodi mingħajr kodiċi ibbażat fuq il-ħardwer.
Għalkemm l-attakk jirrikjedi li l-informazzjoni tkun viżibbli, il-kapaċità tiegħu li jopera mingħajr permess u f'inqas minn nofs minuta jagħmilha theddida serja: teknika ta' kanal sekondarju li tieħu vantaġġ mill- Ħinijiet ta' rendering tal-GPU biex taqra dak li tara fuq l-iskrin, b'mitigazzjonijiet parzjali llum u soluzzjoni aktar profonda pendenti.
Jien dilettant tat-teknoloġija li bidlet l-interessi "geek" tiegħu fi professjoni. Għamilt aktar minn 10 snin minn ħajti nuża teknoloġija avvanzata u nagħmel tbagħbis ma’ kull tip ta’ programmi għal kurżità pura. Issa speċjajtejt fit-teknoloġija tal-kompjuter u l-logħob tal-kompjuter. Dan għaliex ilni aktar minn 5 snin naħdem nikteb għal diversi websajts dwar teknoloġija u video games, noħloq artikli li jfittxu li jagħtuk l-informazzjoni li għandek bżonn b’lingwa li tinftiehem minn kulħadd.
Jekk għandek xi mistoqsijiet, l-għarfien tiegħi jvarja minn dak kollu relatat mas-sistema operattiva Windows kif ukoll Android għat-telefowns ċellulari. U l-impenn tiegħi huwa għalik, jien dejjem lest li nqatta' ftit minuti u ngħinek issolvi kwalunkwe mistoqsija li jista' jkollok f'din id-dinja tal-internet.