Pixnapping: Nenápadný útok, ktorý zachytáva to, čo vidíte na Androide

Tím výskumníkov odhalil Pixnapping, a Technika útoku proti telefónom s Androidom schopná zachytiť to, čo sa zobrazuje na obrazovke, a extrahovať súkromné ​​údaje ako sú kódy 2FA, správy alebo lokality v priebehu niekoľkých sekúnd a bez vyžiadania si povolenia.

Kľúčom je zneužitie určitých systémových API a Bočný kanál GPU na odvodenie obsahu pixelov, ktoré vidíte; proces je neviditeľný a účinný, pokiaľ informácie zostávajú viditeľné, zatiaľ čo Tajomstvá, ktoré nie sú zobrazené na obrazovke, nemožno ukradnúťSpoločnosť Google zaviedla opatrenia na zmiernenie rizík súvisiace s CVE-2025-48561, ale autori objavu preukázali spôsoby obchádzania a v decembrovom bezpečnostnom bulletine pre Android sa očakáva ďalšie potvrdenie.

Čo je Pixnapping a prečo je to problém?

Názov kombinuje slová „pixel“ a „únos“ pretože útok doslova vytvára „únos pixelov“ rekonštruovať informácie, ktoré sa zobrazujú v iných aplikáciách. Ide o vývoj techník bočných kanálov používaných pred rokmi v prehliadačoch, ktoré sú teraz prispôsobené modernému ekosystému Androidu s plynulejším a tichším vykonávaním.

Keďže nevyžaduje špeciálne povolenia, Pixnapping sa vyhýba obrane založenej na modeli povolení a funguje takmer neviditeľne, čo zvyšuje riziko pre používateľov a spoločnosti, ktoré sa časťou svojej bezpečnosti spoliehajú na to, čo sa na obrazovke len prchavo objaví.

Ako sa útok vykonáva

Vo všeobecnosti škodlivá aplikácia organizuje prekrývajúce sa aktivity a synchronizuje vykresľovanie, aby izoloval špecifické oblasti rozhrania, kde sa zobrazujú citlivé údaje; potom využíva časový rozdiel pri spracovaní pixelov na odvodenie ich hodnoty (pozrite si, ako Profily napájania ovplyvňujú FPS).

• Spôsobí, že cieľová aplikácia zobrazí údaje (napríklad kód 2FA alebo citlivý text).
• Skryje všetko okrem oblasti záujmu a manipuluje s vykresľovacím rámcom tak, aby jeden pixel „dominoval“.
• Interpretuje časy spracovania GPU (napr. jav typu GPU.zip) a rekonštruuje obsah.

Pomocou opakovania a synchronizácie malvér odvodzuje znaky a znova ich zostavuje pomocou OCR technikyČasové okno obmedzuje útok, ale ak dáta zostanú viditeľné niekoľko sekúnd, obnova je možná.

Rozsah a dotknuté zariadenia

Akademici overili túto techniku ​​v Google Pixel 6, 7, 8 a 9 a v Samsung Galaxy S25, s verziami systému Android 13 až 16. Keďže zneužité rozhrania API sú široko dostupné, varujú, že „takmer všetky moderné Androidy“ by mohli byť náchylné.

V testoch s kódmi TOTP útok obnovil celý kód s rýchlosťou približne 73 %, 53 %, 29 % a 53 % na telefónoch Pixel 6, 7, 8 a 9 a v priemerných časoch blízkych 14,3 s; 25,8 s; 24,9 s a 25,3 s, čo vám umožní predísť vypršaniu platnosti dočasných kódov.

Aké údaje môžu klesnúť

Okrem toho autentifikačné kódy (Google Authenticator)Výskumníci preukázali obnovu informácií zo služieb, ako sú účty Gmail a Google, aplikácií na zasielanie správ, ako je Signal, finančných platforiem, ako je Venmo, alebo údajov o polohe z... Mapy Googleokrem iného.

Taktiež vás upozornia na údaje, ktoré zostávajú na obrazovke dlhší čas, ako napríklad frázy na obnovenie peňaženky alebo jednorazové kľúče; uložené, ale neviditeľné prvky (napr. tajný kľúč, ktorý sa nikdy nezobrazuje) však nepatria do rozsahu Pixnappingu.

Stav odpovede a záplaty od spoločnosti Google

Zistenie bolo vopred oznámené spoločnosti Google, ktorá problém označila za vysoko závažný a zverejnila počiatočné zmiernenie súvisiace s CVE-2025-48561Výskumníci však našli spôsoby, ako sa tomu vyhnúť, takže V decembrovom newsletteri bola sľúbená ďalšia záplata. a udržiava sa koordinácia so spoločnosťami Google a Samsung.

Súčasná situácia naznačuje, že definitívne zablokovanie si bude vyžadovať preskúmanie spôsobu, akým Android s tým pracuje. vykresľovanie a prekrytia medzi aplikáciami, pretože útok využíva práve tieto interné mechanizmy.

Odporúčané zmierňujúce opatrenia

Pre koncových používateľov je vhodné znížiť vystavenie citlivých údajov na obrazovke a zvoliť si autentifikáciu odolnú voči phishingu a vedľajšie kanály, ako napríklad FIDO2/WebAuthn s bezpečnostnými kľúčmi, pričom sa vždy, keď je to možné, vyhýbajte výlučnému spoliehaniu sa na kódy TOTP.

• Udržujte zariadenie aktuálne a aplikujte bezpečnostné bulletiny hneď, ako budú k dispozícii.
• Vyhnite sa inštalácii aplikácií z neoverené zdroje a skontrolovať povolenia a anomálne správanie.
• Neuchovávajte frázy na obnovenie ani prihlasovacie údaje na viditeľnom mieste; uprednostnite hardvérové ​​peňaženky strážiť kľúče.
• Rýchle uzamknutie obrazovky a obmedziť ukážky citlivého obsahu.

Pre produktové a vývojové tímy je čas skontrolovať procesy overovania a znížiť povrch expozície: minimalizovať tajný text na obrazovke, zaviesť dodatočné ochrany v kritických zobrazeniach a vyhodnotiť prechod na metódy bez kódu hardvérové.

Hoci útok vyžaduje, aby boli informácie viditeľné, ich schopnosť fungovať bez povolenia a za menej ako pol minúty z toho robí vážnu hrozbu: technika bočného kanála, ktorá využíva Časy vykresľovania GPU čítať, čo vidíte na obrazovke, s čiastočnými zmierneniami dnes a čaká sa na hlbšiu opravu.

Súvisiaci článok:

Galaxy S26 Ultra: Takto bude vyzerať nová obrazovka ochrany súkromia

Alberto Navarro

Som technologický nadšenec, ktorý zo svojich „geekovských“ záujmov urobil povolanie. Strávil som viac ako 10 rokov svojho života používaním špičkových technológií a hraním so všetkými druhmi programov z čistej zvedavosti. Teraz som sa špecializoval na počítačovú techniku ​​a videohry. Je to preto, že už viac ako 5 rokov píšem pre rôzne webové stránky o technológiách a videohrách a vytváram články, ktoré sa snažia poskytnúť vám potrebné informácie v jazyku, ktorý je zrozumiteľný pre každého.

Ak máte nejaké otázky, moje znalosti siahajú od všetkého, čo súvisí s operačným systémom Windows, ako aj Androidom pre mobilné telefóny. A môj záväzok je voči vám, vždy som ochotný venovať pár minút a pomôcť vám vyriešiť akékoľvek otázky, ktoré môžete mať v tomto internetovom svete.