- Pixnapping mund të vjedhë kodet 2FA dhe të dhëna të tjera në ekran në më pak se 30 sekonda pa leje.
- Funksionon duke abuzuar me API-të e Android dhe një kanal anësor të GPU-së për të nxjerrë pikselë nga aplikacione të tjera.
- Testuar në Pixel 6-9 dhe Galaxy S25; patch-i fillestar (CVE-2025-48561) nuk e bllokon plotësisht.
- Rekomandohet të përdorni FIDO2/WebAuthn, të minimizoni të dhënat e ndjeshme në ekran dhe të shmangni aplikacionet nga burime të dyshimta.
Një ekip studiuesish ka zbuluar Pixnapping, Një Teknikë sulmi kundër telefonave Android të aftë për të kapur atë që shfaqet në ekran dhe për të nxjerrë të dhëna private siç janë kodet 2FA, mesazhet ose vendndodhjet brenda pak sekondash dhe pa kërkuar leje.
Çelësi është të abuzohet me API të caktuara të sistemit dhe një Kanali anësor i GPU-së për të nxjerrë përmbajtjen e pikselëve që shihni; procesi është i padukshëm dhe efektiv për sa kohë që informacioni mbetet i dukshëm, ndërsa Sekretet që nuk shfaqen në ekran nuk mund të vidhenGoogle ka prezantuar masa zbutëse që lidhen me CVE-2025-48561, por autorët e zbulimit kanë demonstruar rrugë shmangieje dhe pritet përforcime të mëtejshme në buletinin e sigurisë së Android-it të dhjetorit.
Çfarë është Pixnapping dhe pse është shqetësuese?
Emrin kombinon "pikselin" dhe "rrëmbimin" sepse sulmi fjalë për fjalë krijon një “rrëmbim pikselësh” për të rindërtuar informacionin që shfaqet në aplikacione të tjera. Është një evolucion i teknikave të kanalit anësor të përdorura vite më parë në shfletues, tani të përshtatura në ekosistemin modern të Android me një ekzekutim më të butë dhe më të qetë.
Meqenëse nuk kërkon leje të posaçme, Pixnapping shmang mbrojtjet bazuar në modelin e lejeve dhe funksionon pothuajse në mënyrë të padukshme, gjë që rrit rrezikun për përdoruesit dhe kompanitë që mbështeten një pjesë të sigurisë së tyre në atë që shfaqet kalimthi në ekran.
Si kryhet sulmi
Në terma të përgjithshëm, aplikacioni keqdashës orkestron një aktivitete mbivendosëse dhe sinkronizon renderimin për të izoluar zona specifike të ndërfaqes ku shfaqen të dhëna të ndjeshme; pastaj shfrytëzon ndryshimin e kohës gjatë përpunimit të pikselëve për të nxjerrë vlerën e tyre (shih si Profilet e fuqisë ndikojnë në FPS).
- Shkakton që aplikacioni i synuar të shfaqë të dhënat (për shembull, një kod 2FA ose tekst i ndjeshëm).
- Fsheh gjithçka përveç zonës së interesit dhe manipulon kornizën e renderimit në mënyrë që një piksel të "mbizotërojë".
- Interpreton kohët e përpunimit të GPU-së (p.sh. fenomeni i tipit GPU.zip) dhe rindërton përmbajtjen.
Me përsëritje dhe sinkronizim, malware nxjerr karaktere dhe i rimonton ato duke përdorur Teknikat e OCRDritarja kohore e kufizon sulmin, por nëse të dhënat mbeten të dukshme për disa sekonda, rikuperimi është i mundur.
Fushëveprimi dhe pajisjet e prekura
Akademikët e verifikuan teknikën në Google Pixel 6, 7, 8 dhe 9 dhe në Samsung Galaxy S25, me versionet Android 13 deri në 16. Meqenëse API-të e shfrytëzuara janë gjerësisht të disponueshme, ata paralajmërojnë se "pothuajse të gjithë Android-ët modernë" mund të jetë i ndjeshëm.
Në testet me kodet TOTP, sulmi e rikuperoi të gjithë kodin me shpejtësi prej afërsisht 73%, 53%, 29% dhe 53% në Pixel 6, 7, 8 dhe 9, përkatësisht, dhe në kohë mesatare afër 14,3s; 25,8s; 24,9s dhe 25,3s, duke ju lejuar të ecni përpara skadimit të kodeve të përkohshme.
Cilat të dhëna mund të bien
Përveç kësaj kodet e vërtetimit (Google Authenticator), studiuesit treguan rikuperimin e informacionit nga shërbime të tilla si llogaritë Gmail dhe Google, aplikacionet e mesazheve si Signal, platformat financiare si Venmo ose të dhënat e vendndodhjes nga Google Maps, Ndër të tjera.
Ato gjithashtu ju njoftojnë për të dhënat që mbeten në ekran për periudha më të gjata kohore, si p.sh. fraza për rikuperimin e portofolit ose çelësa njëpërdorimësh; megjithatë, elementët e ruajtur por jo të dukshëm (p.sh., një çelës sekret që nuk shfaqet kurrë) janë përtej fushëveprimit të Pixnapping.
Përgjigja e Google dhe Statusi i Patch-it
Zbulimi iu komunikua paraprakisht Google-it, i cili e etiketoi problemin si shumë të rëndë dhe publikoi një masë fillestare zbutëse që lidhej me të. CVE-2025-48561Megjithatë, studiuesit gjetën metoda për ta shmangur atë, kështu që Një patch shtesë është premtuar në buletinin e dhjetorit dhe koordinimi me Google dhe Samsung mbahet.
Situata aktuale sugjeron që një bllokim përfundimtar do të kërkojë një rishikim të mënyrës se si Android trajton... renderimi dhe mbivendosjet midis aplikacioneve, meqenëse sulmi shfrytëzon pikërisht ato mekanizma të brendshëm.
Masat zbutëse të rekomanduara
Për përdoruesit fundorë, këshillohet të zvogëlohet ekspozimi i të dhënave të ndjeshme në ekran dhe të zgjedhin autentifikim rezistent ndaj phishing-ut dhe kanale anësore, të tilla si FIDO2/WebAuthn me çelësa sigurie, duke shmangur mbështetjen ekskluzivisht në kodet TOTP sa herë që është e mundur.
- Mbajeni pajisjen tuaj të përditësuar dhe zbatoni buletinet e sigurisë sapo ato të bëhen të disponueshme.
- Shmangni instalimin e aplikacioneve nga burime të paverifikuara dhe të shqyrtojë lejet dhe sjelljen anormale.
- Mos i mbani të dukshme frazat e rikuperimit ose kredencialet; preferoni portofolet e pajisjeve për të ruajtur çelësat.
- Kyç ekranin shpejt dhe kufizoni shikimet paraprake të përmbajtjes së ndjeshme.
Për ekipet e produkteve dhe zhvillimit, është koha për të rishikoni rrjedhat e vërtetimit dhe zvogëloni sipërfaqen e ekspozimit: minimizoni tekstin sekret në ekran, futni mbrojtje shtesë në pamjet kritike dhe vlerësoni kalimin në metoda pa kod bazuar në harduer.
Edhe pse sulmi kërkon që informacioni të jetë i dukshëm, aftësia e tij për të vepruar pa leje dhe në më pak se gjysmë minute e bën atë një kërcënim serioz: një teknikë e kanalit anësor që shfrytëzon Kohët e renderimit të GPU-së për të lexuar atë që shihni në ekran, me zbutje të pjesshme sot dhe një rregullim më të thellë në pritje.
Unë jam një entuziast i teknologjisë që i kam kthyer në profesion interesat e tij "geek". Kam shpenzuar më shumë se 10 vjet të jetës sime duke përdorur teknologjinë më të fundit dhe duke punuar me të gjitha llojet e programeve nga kurioziteti i pastër. Tani jam specializuar në teknologjinë kompjuterike dhe videolojërat. Kjo sepse prej më shumë se 5 vitesh shkruaj për faqe të ndryshme interneti mbi teknologjinë dhe videolojërat, duke krijuar artikuj që kërkojnë t'ju japin informacionin që ju nevojitet në një gjuhë të kuptueshme nga të gjithë.
Nëse keni ndonjë pyetje, njohuritë e mia variojnë nga gjithçka që lidhet me sistemin operativ Windows si dhe Android për telefonat celularë. Dhe angazhimi im është për ju, unë jam gjithmonë i gatshëm të kaloj disa minuta dhe t'ju ndihmoj të zgjidhni çdo pyetje që mund të keni në këtë botë të internetit.