Pixnapping kradnie 2FA i dane na Androidzie bez pozwolenia

Pixnapping potrafi ukraść kody 2FA i inne dane wyświetlane na ekranie w czasie krótszym niż 30 sekund i bez pozwolenia.
Działa poprzez wykorzystywanie interfejsów API Androida i kanału bocznego GPU do wyciągania wniosków na temat pikseli z innych aplikacji.
Przetestowano na telefonach Pixel 6-9 i Galaxy S25; pierwotna poprawka (CVE-2025-48561) nie blokuje jej całkowicie.
Zaleca się korzystanie z FIDO2/WebAuthn, ograniczenie do minimum poufnych danych na ekranie i unikanie aplikacji z podejrzanych źródeł.

Atak Pixnapping na Androida

Zespół badaczy ujawnił Pixnapping, A Technika ataku na telefony z systemem Android, która umożliwia przechwycenie zawartości wyświetlanej na ekranie i wydobycie prywatnych danych takie jak kody 2FA, wiadomości lub lokalizacje w ciągu kilku sekund i bez pytania o pozwolenie.

Kluczem jest nadużywanie pewnych interfejsów API systemu i Kanał boczny GPU aby wywnioskować zawartość pikseli, które widzisz; proces ten jest niewidoczny i skuteczny tak długo, jak długo informacja pozostaje widoczna, podczas gdy Sekrety nie pokazane na ekranie nie mogą zostać skradzioneGoogle wprowadziło środki łagodzące związane z CVE-2025-48561Jednak autorzy odkrycia pokazali ścieżki omijania zabezpieczeń, a w grudniowym biuletynie dotyczącym bezpieczeństwa systemu Android spodziewane są dalsze potwierdzenia tych doniesień.

Czym jest Pixnapping i dlaczego jest powodem do obaw?

Imię łączy „piksel” i „porwanie” ponieważ atak dosłownie powoduje „przechwytywanie pikseli” do rekonstrukcji informacji wyświetlanych w innych aplikacjach. To ewolucja technik side-channel stosowanych lata temu w przeglądarkach, obecnie dostosowana do nowoczesnego ekosystemu Androida, zapewniająca płynniejsze i cichsze działanie.

Ekskluzywna zawartość — kliknij tutaj Salesforce redukuje 4.000 stanowisk wsparcia: sztuczna inteligencja firmy obsługuje teraz 50% zapytań i pozyskuje 100 milionów potencjalnych klientów.

Ponieważ nie wymaga specjalnych zezwoleń, Pixnapping unika obrony opartej na modelu uprawnień i działa niemal niewidocznie, co zwiększa ryzyko dla użytkowników i firm, których bezpieczeństwo częściowo opiera się na tym, co ulotnie pojawia się na ekranie.

Jak przeprowadzany jest atak

Jak działa Pixnapping

Ogólnie rzecz biorąc, złośliwa aplikacja organizuje nakładające się działania i synchronizuje renderowanie, aby wyizolować określone obszary interfejsu, w których wyświetlane są poufne dane; następnie wykorzystuje różnicę w czasie podczas przetwarzania pikseli, aby wywnioskować ich wartość (zobacz jak Profile mocy wpływają na liczbę klatek na sekundę (FPS)).

Powoduje, że aplikacja docelowa wyświetla dane (na przykład kod 2FA lub poufny tekst).
Ukrywa wszystko oprócz obszaru zainteresowania i manipuluje klatką renderowania tak, aby jeden piksel „dominował”.
Interpretuje czasy przetwarzania GPU (np. zjawisko typu GPU.zip) i rekonstruuje zawartość.

Dzięki powtarzaniu i synchronizacji złośliwe oprogramowanie dedukuje znaki i ponownie je składa, wykorzystując Techniki OCROkno czasowe ogranicza atak, ale jeśli dane pozostaną widoczne przez kilka sekund, odzyskanie ich będzie możliwe.

Zakres i urządzenia objęte

Naukowcy zweryfikowali tę technikę w Google Pixel 6, 7, 8 i 9 y en el Samsung Galaxy S25z wersjami Androida od 13 do 16. Ponieważ wykorzystane interfejsy API są powszechnie dostępne, ostrzegają, że „prawie wszystkie współczesne androidy” może być podatny.

Ekskluzywna zawartość — kliknij tutaj Xiaomi wyprzedza Apple po prawej: umacnia swoją pozycję wiodącej na świecie marki urządzeń ubieralnych.

W testach z kodami TOTP atak odzyskał cały kod ze współczynnikiem około 73%, 53%, 29% i 53% odpowiednio na Pixelu 6, 7, 8 i 9, a średnio w czasie zbliżonym do 14,3 sek.; 25,8 sek.; 24,9 sek. i 25,3 sek., co pozwala na wyprzedzenie wygaśnięcia kodów tymczasowych.

Jakie dane mogą spaść

Oprócz kody uwierzytelniające (Google Authenticator)badacze wykazali, że odzyskiwanie informacji z usług takich jak konta Gmail i Google, aplikacji do przesyłania wiadomości, takich jak Signal, platform finansowych, takich jak Venmo, czy danych o lokalizacji Mapy Googlemiędzy innymi.

Ostrzegają również o danych, które pozostają na ekranie przez dłuższy czas, takich jak: frazy odzyskiwania portfela lub klucze jednorazowe; jednak elementy przechowywane, ale niewidoczne (np. tajny klucz, który nigdy nie jest pokazywany) są poza zakresem Pixnapping.

Odpowiedź Google i stan poprawki

O odkryciu tym poinformowano wcześniej firmę Google, która oznaczyła problem jako poważny i opublikowała wstępne środki zaradcze związane z CVE-2025-48561Jednak badacze znaleźli metody, aby temu zapobiec, więc W grudniowym biuletynie obiecano dodatkową poprawkę i koordynacja z Google i Samsungiem jest utrzymana.

Obecna sytuacja sugeruje, że ostateczna blokada będzie wymagała przeglądu sposobu, w jaki Android sobie z nią radzi renderowanie i nakładki między aplikacjami, ponieważ atak wykorzystuje właśnie te wewnętrzne mechanizmy.

Ekskluzywna zawartość — kliknij tutaj Jak działają alerty bezpieczeństwa w Panda Free Antivirus?

Zalecane środki łagodzące

Czym jest pixnapping?

Użytkownikom końcowym zaleca się ograniczenie narażenia wrażliwych danych na ekranie i wybór uwierzytelniania odpornego na phishing oraz kanałów bocznych, takich jak FIDO2/WebAuthn z kluczami bezpieczeństwa, unikając w miarę możliwości polegania wyłącznie na kodach TOTP.

Aktualizuj swoje urządzenie i wdrażać biuletyny bezpieczeństwa, gdy tylko będą dostępne.
Unikaj instalowania aplikacji z niezweryfikowane źródła i przejrzyj uprawnienia oraz nietypowe zachowania.
Nie pozostawiaj widocznych fraz odzyskiwania ani danych uwierzytelniających; portfele sprzętowe do pilnowania kluczy.
Szybkie blokowanie ekranu i ograniczyć podgląd wrażliwych treści.

Dla zespołów produktowych i rozwojowych nadszedł czas przejrzyj przepływy uwierzytelniania i zmniejsz powierzchnię ekspozycji: zminimalizuj ukryty tekst na ekranie, wprowadź dodatkowe zabezpieczenia w widokach krytycznych i oceń przejście do metody bezkodowe oparty na sprzęcie.

Chociaż atak wymaga widoczności informacji, jego zdolność do działania bez pozwolenia i w mniej niż pół minuty stanowi poważne zagrożenie: technika kanału bocznego, która wykorzystuje Czas renderowania GPU aby odczytać to, co widzisz na ekranie, z częściowymi poprawkami wprowadzonymi dzisiaj i oczekującymi na bardziej szczegółowe rozwiązanie.

Powiązany artykuł:

Galaxy S26 Ultra: Tak będzie wyglądał nowy ekran prywatności

Alberto Navarro

Jestem entuzjastą technologii, który swoje „geekowskie” zainteresowania przekształcił w zawód. Spędziłem ponad 10 lat mojego życia, korzystając z najnowocześniejszych technologii i majsterkując przy wszelkiego rodzaju programach z czystej ciekawości. Teraz specjalizuję się w technologii komputerowej i grach wideo. Dzieje się tak dlatego, że od ponad 5 lat piszę dla różnych serwisów poświęconych technologii i grom wideo, tworząc artykuły, których celem jest dostarczenie potrzebnych informacji w języku zrozumiałym dla każdego.

Jeśli masz jakieś pytania, moja wiedza obejmuje wszystko, co jest związane z systemem operacyjnym Windows, a także Androidem dla telefonów komórkowych. Moje zaangażowanie jest wobec Ciebie. Zawsze jestem gotowy poświęcić kilka minut i pomóc Ci rozwiązać wszelkie pytania, jakie możesz mieć w tym internetowym świecie.