Pixnapping: Prikrit napad, ki zajame, kar vidite na Androidu

Ekipa raziskovalcev je razkrila Pikslapping, En Tehnika napada na telefone Android, ki je sposobna zajemanja prikaza na zaslonu in pridobivanja zasebnih podatkov kot so kode 2FA, sporočila ali lokacije v nekaj sekundah in brez zahteve za dovoljenje.

Ključno je zloraba določenih sistemskih API-jev in Stranski kanal grafičnega procesorja za sklepanje o vsebini slikovnih pik, ki jih vidite; postopek je neviden in učinkovit, dokler so informacije vidne, medtem ko Skrivnosti, ki niso prikazane na zaslonu, ni mogoče ukrastiGoogle je uvedel omilitve, povezane z CVE-2025-48561, vendar so avtorji odkritja pokazali poti izogibanja, nadaljnja okrepitev pa se pričakuje v decembrskem varnostnem biltenu za Android.

Kaj je Pixnapping in zakaj je to zaskrbljujoče?

Ime združuje »piksel« in »ugrabitev« ker napad dobesedno povzroči "ugrabitev pikslov" za rekonstrukcijo informacij, ki se pojavljajo v drugih aplikacijah. Gre za razvoj tehnik stranskih kanalov, ki so se pred leti uporabljale v brskalnikih, zdaj pa so prilagojene sodobnemu ekosistemu Android z bolj gladkim in tišjim izvajanjem.

Ker ne potrebuje posebnih dovoljenj, Pixnapping se izogne ​​obrambam, ki temeljijo na modelu dovoljenj in deluje skoraj nevidno, kar povečuje tveganje za uporabnike in podjetja, ki se del svoje varnosti zanašajo na to, kar se bežno pojavi na zaslonu.

Kako se napad izvede

Na splošno zlonamerna aplikacija orkestrira prekrivajoče se dejavnosti in sinhronizira upodabljanje, da izolira določena področja vmesnika, kjer so prikazani občutljivi podatki; nato pa pri obdelavi slikovnih pik izkoristi časovno razliko, da ugotovi njihovo vrednost (glejte, kako Profili moči vplivajo na FPS).

• Povzroči, da ciljna aplikacija prikaže podatke (na primer koda 2FA ali občutljivo besedilo).
• Skrije vse razen območja zanimanja in manipulira z okvirjem za upodabljanje tako, da en slikovni element "prevladuje".
• Interpretira čase obdelave GPU-ja (npr. pojav tipa GPU.zip) in rekonstruira vsebino.

Z ponavljanjem in sinhronizacijo zlonamerna programska oprema izpelje znake in jih ponovno sestavi z uporabo Tehnike OCRČasovno okno omejuje napad, če pa podatki ostanejo vidni nekaj sekund, je obnovitev mogoča.

Obseg in prizadete naprave

Akademiki so tehniko potrdili v Google Pixel 6, 7, 8 in 9 in pri Samsung Galaxy S25, z različicami Androida od 13 do 16. Ker so izkoriščeni API-ji široko dostopni, opozarjajo, da "skoraj vsi sodobni Androidi" bi lahko bili dovzetni.

V testih s kodami TOTP je napad obnovil celotno kodo s hitrostjo približno 73 %, 53 %, 29 % in 53 % na telefonih Pixel 6, 7, 8 in 9 ter v povprečnih časih blizu 14,3 s; 25,8 s; 24,9 s in 25,3 s, kar vam omogoča, da predčasno prehitite potečejo začasne kode.

Kateri podatki lahko padejo

Poleg kode za preverjanje pristnosti (Google Authenticator)Raziskovalci so pokazali, da je mogoče pridobiti podatke iz storitev, kot so Gmail in Google računi, aplikacij za sporočanje, kot je Signal, finančnih platform, kot je Venmo, ali podatkov o lokaciji iz Google Maps, Med drugim.

Opozarjajo vas tudi na podatke, ki ostanejo na zaslonu dlje časa, kot na primer fraze za obnovitev denarnice ali enkratne ključe; vendar shranjeni, a nevidni elementi (npr. tajni ključ, ki ni nikoli prikazan) ne spadajo v obseg Pixnappinga.

Stanje odgovora in popravka Googla

Ugotovitev je bila vnaprej sporočena Googlu, ki je težavo označil kot zelo resno in objavil začetno omilitev, povezano z CVE-2025-48561Vendar so raziskovalci našli načine, kako se temu izogniti, zato V decembrskem glasilu je bil obljubljen dodaten popravek. in vzdržuje se usklajevanje z Googlom in Samsungom.

Trenutne razmere kažejo, da bo dokončna blokada zahtevala pregled načina delovanja Androida. upodabljanje in prekrivanja med aplikacijami, saj napad izkorišča prav te notranje mehanizme.

Priporočeni blažilni ukrepi

Za končne uporabnike je priporočljivo zmanjšati izpostavljenost občutljivih podatkov na zaslonu in se odločiti za preverjanje pristnosti, odporno proti lažnemu predstavljanju, in stranske kanale, kot so FIDO2/WebAuthn z varnostnimi ključi, pri čemer se, kadar koli je to mogoče, izogibajte izključnemu zanašanju na kode TOTP.

• Naj bo vaša naprava posodobljena in uporabite varnostne biltene takoj, ko so na voljo.
• Izogibajte se nameščanju aplikacij iz nepreverjeni viri in pregledati dovoljenja in nepravilno vedenje.
• Ne puščajte vidnih fraz ali poverilnic za obnovitev; raje strojne denarnice za varovanje ključev.
• Hitro zaklenite zaslon in omejite predoglede občutljive vsebine.

Za produktne in razvojne ekipe je čas, da pregled postopkov preverjanja pristnosti in zmanjšajte površino izpostavljenosti: zmanjšajte skrivno besedilo na zaslonu, uvedite dodatne zaščite v kritičnih pogledih in ocenite prehod na metode brez kode na osnovi strojne opreme.

Čeprav napad zahteva, da so informacije vidne, je njegova sposobnost delovanja brez dovoljenja in v manj kot pol minute zaradi česar predstavlja resno grožnjo: tehnika stranskega kanala, ki izkorišča Časi upodabljanja GPU-ja da preberete, kar vidite na zaslonu, z delnimi blažilnimi ukrepi danes in čaka na podrobnejši popravek.

Povezani članek:

Galaxy S26 Ultra: Takole bo videti novi zaslon za zasebnost

Alberto navarro

Sem tehnološki navdušenec, ki je svoja "geek" zanimanja spremenil v poklic. Več kot 10 let svojega življenja sem porabil za uporabo vrhunske tehnologije in premleval najrazličnejše programe iz čiste radovednosti. Zdaj sem se specializiral za računalniško tehnologijo in video igre. To je zato, ker že več kot 5 let pišem za različna spletna mesta o tehnologiji in video igrah ter ustvarjam članke, ki vam želijo dati informacije, ki jih potrebujete, v jeziku, ki je razumljiv vsem.

Če imate kakršna koli vprašanja, moje znanje sega od vsega v zvezi z operacijskim sistemom Windows kot tudi Androidom za mobilne telefone. In moja zaveza je vam, vedno sem pripravljen porabiti nekaj minut in vam pomagati razrešiti kakršna koli vprašanja, ki jih morda imate v tem internetnem svetu.