- Pixnapping මඟින් අවසරයකින් තොරව තත්පර 30කට අඩු කාලයකදී 2FA කේත සහ අනෙකුත් තිරයේ දත්ත සොරකම් කළ හැක.
- එය ක්රියා කරන්නේ අනෙකුත් යෙදුම් වලින් පික්සල අනුමාන කිරීමට Android API සහ GPU පැති නාලිකාවක් අනිසි ලෙස භාවිතා කිරීමෙනි.
- Pixel 6-9 සහ Galaxy S25 මත පරීක්ෂා කර ඇත; ආරම්භක පැච් එක (CVE-2025-48561) එය සම්පූර්ණයෙන්ම අවහිර නොකරයි.
- FIDO2/WebAuthn භාවිතා කිරීම, තිරය මත සංවේදී දත්ත අවම කිරීම සහ සැක සහිත මූලාශ්රවලින් යෙදුම් වළක්වා ගැනීම නිර්දේශ කෙරේ.
පර්යේෂකයින් කණ්ඩායමක් හෙළි කර තිබේ. පික්ස්නැපිං, ඒ තිරයේ දිස්වන දේ ග්රහණය කර පුද්ගලික දත්ත උපුටා ගැනීමේ හැකියාව ඇති ඇන්ඩ්රොයිඩ් දුරකථන වලට එරෙහි ප්රහාරක තාක්ෂණය තත්පර කිහිපයකින් 2FA කේත, පණිවිඩ හෝ ස්ථාන වැනි සහ අවසර ඉල්ලීමකින් තොරව.
යතුර වන්නේ ඇතැම් පද්ධති API අනිසි ලෙස භාවිතා කිරීමයි සහ a GPU පැති නාලිකාව ඔබ දකින පික්සලවල අන්තර්ගතය නිගමනය කිරීමට; තොරතුරු දෘශ්යමානව පවතින තාක් කල් ක්රියාවලිය නොපෙනෙන සහ ඵලදායී වේ, නමුත් තිරයේ නොපෙන්වන රහස් සොරකම් කළ නොහැක.. ගූගල් විසින් සම්බන්ධිත අවම කිරීම් හඳුන්වා දී ඇත CVE-2025-48561 හඳුන්වා දීම, නමුත් සොයාගැනීමේ කතුවරුන් මගහැරීමේ මාර්ග පෙන්නුම් කර ඇති අතර, දෙසැම්බර් ඇන්ඩ්රොයිඩ් ආරක්ෂක ප්රකාශනයේ තවදුරටත් ශක්තිමත් කිරීමක් අපේක්ෂා කෙරේ.
Pixnapping යනු කුමක්ද සහ එය කනස්සල්ලට කරුණක් වන්නේ ඇයි?
නම "පික්සල්" සහ "පැහැර ගැනීම" ඒකාබද්ධ කරයි මක්නිසාද යත් ප්රහාරය වචනාර්ථයෙන් "පික්සල් පැහැර ගැනීම" වෙනත් යෙදුම්වල දිස්වන තොරතුරු ප්රතිනිර්මාණය කිරීමට. එය වසර ගණනාවකට පෙර බ්රව්සර්වල භාවිතා කරන ලද පැති-නාලිකා ශිල්පීය ක්රමවල පරිණාමයකි, දැන් සුමට, නිහඬ ක්රියාත්මක කිරීමකින් නවීන ඇන්ඩ්රොයිඩ් පරිසර පද්ධතියට අනුවර්තනය වී ඇත.
එයට විශේෂ අවසර පත්ර අවශ්ය නොවන බැවින්, Pixnapping අවසර ආකෘතිය මත පදනම් වූ ආරක්ෂක වළක්වයි සහ නොපෙනෙන ලෙස පාහේ ක්රියා කරයි, එමඟින් තිරය මත ක්ෂණිකව දිස්වන දේ මත තම ආරක්ෂාවෙන් කොටසක් රඳා පවතින පරිශීලකයින් සහ සමාගම් සඳහා අවදානම වැඩි වේ.
ප්රහාරය ක්රියාත්මක කරන ආකාරය
සාමාන්යයෙන්, ද්වේෂසහගත යෙදුම සංවිධානය කරන්නේ a අතිච්ඡාදනය වන ක්රියාකාරකම් සහ සංවේදී දත්ත පෙන්වන අතුරුමුහුණතේ නිශ්චිත ප්රදේශ හුදකලා කිරීමට විදැහුම්කරණය සමමුහුර්ත කරයි; ඉන්පසු පික්සල සැකසීමේදී කාල වෙනස උපයෝගී කරගනිමින් ඒවායේ අගය අනුමාන කරයි (කෙසේදැයි බලන්න බල පැතිකඩ FPS වලට බලපායි).
- ඉලක්ක යෙදුම දත්ත පෙන්වීමට හේතු වේ (උදාහරණයක් ලෙස, 2FA කේතයක් හෝ සංවේදී පෙළක්).
- උනන්දුවක් දක්වන ප්රදේශය හැර අනෙක් සියල්ල සඟවා එක් පික්සලයක් "ආධිපත්යය දරන" පරිදි විදැහුම්කරණ රාමුව හසුරුවයි.
- GPU සැකසුම් වේලාවන් අර්ථකථනය කරයි (උදා: GPU.zip වර්ගයේ සංසිද්ධිය) සහ අන්තර්ගතය ප්රතිනිර්මාණය කරයි.
පුනරාවර්තනය සහ සමමුහුර්තකරණය සමඟින්, අනිෂ්ට මෘදුකාංගය අක්ෂර අඩු කර ඒවා භාවිතයෙන් නැවත එකලස් කරයි OCR ශිල්පීය ක්රමකාල කවුළුව ප්රහාරය සීමා කරයි, නමුත් දත්ත තත්පර කිහිපයක් දෘශ්යමානව පවතී නම්, ප්රතිසාධනය කළ හැකිය.
විෂය පථය සහ බලපෑමට ලක් වූ උපාංග
විද්වතුන් මෙම තාක්ෂණය සත්යාපනය කළේ ගූගල් පික්සල් 6, 7, 8 සහ 9 සහ තුළ සැම්සුන්ග් ගැලැක්සි එස් 25, Android අනුවාද 13 සිට 16 දක්වා. සූරාකන ලද API බහුලව ලබා ගත හැකි බැවින්, ඔවුන් අනතුරු අඟවන්නේ "නවීන ඇන්ඩ්රොයිඩ් සියල්ලම පාහේ" ගොදුරු විය හැකිය.
TOTP කේත සමඟ කරන ලද පරීක්ෂණ වලදී, ප්රහාරය මඟින් ආසන්න වශයෙන් අනුපාත සමඟ සම්පූර්ණ කේතයම ප්රතිසාධනය කරන ලදී 73%, 53%, 29% සහ 53% පිළිවෙලින් Pixel 6, 7, 8 සහ 9 මත සහ සාමාන්ය කාලවලදී ආසන්න වශයෙන් තත්පර 14,3; තත්පර 25,8; තත්පර 24,9 සහ තත්පර 25,3, තාවකාලික කේත කල් ඉකුත් වීමට පෙර ඔබට ඉඩ සලසයි.
කුමන දත්ත වැටිය හැකිද?
අතිරේකව සත්යාපන කේත (Google Authenticator), පර්යේෂකයන් Gmail සහ Google ගිණුම් වැනි සේවාවන්ගෙන්, Signal වැනි පණිවිඩකරණ යෙදුම්වලින්, Venmo වැනි මූල්ය වේදිකාවලින් හෝ ස්ථාන දත්තවලින් තොරතුරු ප්රතිසාධනය පෙන්නුම් කළහ. ගූගල් සිතියම්වෙනත් අය අතර.
ඒවා තිරය මත දිගු කාලයක් පවතින දත්ත පිළිබඳවද ඔබට අනතුරු අඟවයි, උදාහරණයක් ලෙස මුදල් පසුම්බිය නැවත ලබා ගැනීමේ වාක්ය ඛණ්ඩ හෝ එක්-වර යතුරු; කෙසේ වෙතත්, ගබඩා කර ඇති නමුත් දෘශ්යමාන නොවන මූලද්රව්ය (උදා: කිසිදා නොපෙන්වන රහස් යතුරක්) Pixnapping හි විෂය පථයෙන් ඔබ්බට ඇත.
ගූගල් ප්රතිචාරය සහ පැච් තත්ත්වය
මෙම සොයා ගැනීම ගූගල් වෙත කල්තියා දැනුම් දෙන ලද අතර, එම ගැටළුව ඉහළ බරපතලකමක් ලෙස ලේබල් කර ඇති අතර ඒ හා සම්බන්ධ මූලික අවම කිරීමක් ප්රකාශයට පත් කර ඇත CVE-2025-48561 හඳුන්වා දීමකෙසේ වෙතත්, පර්යේෂකයන් එය මඟ හැරීමට ක්රම සොයා ගත්හ, එබැවින් දෙසැම්බර් පුවත් පත්රිකාවේ අතිරේක පැච් එකක් පොරොන්දු වී ඇත. සහ ගූගල් සහ සැම්සුන් සමඟ සම්බන්ධීකරණය පවත්වා ගෙන යනු ලැබේ.
වත්මන් තත්ත්වය අනුව, නිශ්චිත අවහිර කිරීමකට Android හැසිරෙන ආකාරය පිළිබඳ සමාලෝචනයක් අවශ්ය වනු ඇත විදැහුම්කරණය සහ උඩැතිරි යෙදුම් අතර, ප්රහාරය හරියටම එම අභ්යන්තර යාන්ත්රණයන් ගසාකන බැවින්.
නිර්දේශිත අවම කිරීමේ පියවර
අවසාන පරිශීලකයින් සඳහා, තිරය මත සංවේදී දත්ත නිරාවරණය වීම අඩු කිරීම සහ තතුබෑම්-ප්රතිරෝධී සත්යාපනය සහ අතුරු නාලිකා තෝරා ගැනීම සුදුසුය, උදාහරණයක් ලෙස ආරක්ෂක යතුරු සහිත FIDO2/WebAuthn, හැකි සෑම විටම TOTP කේත මත පමණක් යැපීමෙන් වළකින්න.
- ඔබගේ උපාංගය යාවත්කාලීනව තබා ගන්න සහ ආරක්ෂක දැන්වීම් ලබා ගත හැකි වූ වහාම ඒවා යොදන්න.
- යෙදුම් ස්ථාපනය කිරීමෙන් වළකින්න සත්යාපනය නොකළ මූලාශ්ර සහ අවසර සහ අසාමාන්ය හැසිරීම් සමාලෝචනය කරන්න.
- ප්රතිසාධන වාක්ය ඛණ්ඩ හෝ අක්තපත්ර දෘශ්යමානව තබා නොගන්න; කැමති වන්න දෘඩාංග පසුම්බි යතුරු ආරක්ෂා කිරීමට.
- තිරය ඉක්මනින් අගුළු දමන්න සහ සංවේදී අන්තර්ගතයේ පෙරදසුන් සීමා කරන්න.
නිෂ්පාදන සහ සංවර්ධන කණ්ඩායම් සඳහා, කාලයයි සත්යාපන ප්රවාහ සමාලෝචනය කරන්න සහ නිරාවරණ මතුපිට අඩු කරන්න: තිරයේ රහස් පෙළ අවම කරන්න, විවේචනාත්මක දර්ශනවල අමතර ආරක්ෂාවන් හඳුන්වා දෙන්න සහ සංක්රාන්තිය ඇගයීමට කේත-නිදහස් ක්රම දෘඩාංග මත පදනම් වූ.
ප්රහාරයට තොරතුරු දෘශ්යමාන වීම අවශ්ය වුවද, එහි ක්රියාත්මක වීමේ හැකියාව අවසරයකින් තොරව සහ මිනිත්තු භාගයකටත් අඩු කාලයකින් එය බරපතල තර්ජනයක් බවට පත් කරයි: වාසිය ලබා ගන්නා පැති නාලිකා තාක්ෂණයකි GPU විදැහුම්කරණ වේලාවන් අද අර්ධ වශයෙන් අඩු කිරීම් සහ ගැඹුරු විසඳුමක් බලාපොරොත්තුවෙන් සිටින අතරතුර, ඔබ තිරය මත දකින දේ කියවීමට.
මම ඔහුගේ "ගීක්" අවශ්යතා වෘත්තියක් බවට පත් කරගත් තාක්ෂණ ලෝලියෙකි. මම මගේ ජීවිතයේ වසර 10 කට වඩා වැඩි කාලයක් ගත කර ඇත්තේ නවීන තාක්ෂණය භාවිතා කරමින් සහ පිරිසිදු කුතුහලයෙන් සියලු වර්ගවල වැඩසටහන් සමඟ ටින්කර් කිරීමෙනි. දැන් මම පරිගණක තාක්ෂණය සහ වීඩියෝ ක්රීඩා පිළිබඳ විශේෂඥයෙක්. මක්නිසාද යත්, මම වසර 5 කට වැඩි කාලයක් තාක්ෂණය සහ වීඩියෝ ක්රීඩා පිළිබඳ විවිධ වෙබ් අඩවි සඳහා ලිවීමට කටයුතු කරමින්, ඔබට අවශ්ය තොරතුරු සෑම කෙනෙකුටම තේරුම් ගත හැකි භාෂාවකින් ලබා දීමට උත්සාහ කරන ලිපි නිර්මාණය කරමි.
ඔබට කිසියම් ප්රශ්නයක් ඇත්නම්, මගේ දැනුම වින්ඩෝස් මෙහෙයුම් පද්ධතියට මෙන්ම ජංගම දුරකථන සඳහා වන ඇන්ඩ්රොයිඩ් හා සම්බන්ධ සෑම දෙයකින්ම විහිදේ. ඒ වගේම මගේ කැපවීම ඔබටයි, මම සෑම විටම මිනිත්තු කිහිපයක් ගත කිරීමට සහ ඔබට මෙම අන්තර්ජාල ලෝකයේ ඇති ඕනෑම ප්රශ්නයක් විසඳීමට උදව් කිරීමට කැමැත්තෙමි.