- Pixnapping inaweza kuiba misimbo ya 2FA na data nyingine ya skrini chini ya sekunde 30 bila ruhusa.
- Inafanya kazi kwa kutumia vibaya API za Android na chaneli ya upande wa GPU ili kukisia saizi kutoka kwa programu zingine.
- Ilijaribiwa kwenye Pixel 6-9 na Galaxy S25; kiraka cha awali (CVE-2025-48561) hakiizuii kikamilifu.
- Inapendekezwa kutumia FIDO2/WebAuthn, kupunguza data nyeti kwenye skrini, na kuepuka programu kutoka kwa vyanzo vya shaka.
Timu ya watafiti imebaini Pixnapping, a Mbinu ya kushambulia dhidi ya simu za Android zenye uwezo wa kunasa kile kinachoonyeshwa kwenye skrini na kutoa data ya faragha kama vile misimbo ya 2FA, ujumbe au maeneo katika muda wa sekunde na bila kuomba ruhusa.
Jambo kuu ni kutumia vibaya API fulani za mfumo na a Njia ya upande wa GPU kuamua yaliyomo kwenye saizi unazoona; mchakato hauonekani na unafaa mradi tu habari inabaki kuonekana, wakati Siri zisizoonyeshwa kwenye skrini haziwezi kuibiwa. Google imeanzisha upunguzaji unaohusishwa na CVE-2025-48561, lakini wachapishaji wa ugunduzi huo wameonyesha njia za kukwepa, na uimarishaji zaidi unatarajiwa katika taarifa ya usalama ya Android ya Desemba.
Pixnapping ni nini na kwa nini inatia wasiwasi?
Jina inachanganya "pixel" na "kuteka nyara" kwa sababu shambulio hilo kihalisi hufanya a "utekaji nyara wa pixel" kuunda upya habari inayoonekana katika programu zingine. Ni mageuzi ya mbinu za idhaa ya kando zilizotumika miaka iliyopita katika vivinjari, ambazo sasa zimechukuliwa kwa mfumo wa kisasa wa Android wenye utekelezaji laini na tulivu.
Kwa kuwa hauitaji vibali maalum, Pixnapping huepuka ulinzi kulingana na mfano wa ruhusa na inafanya kazi karibu bila kuonekana, ambayo huongeza hatari kwa watumiaji na makampuni ambayo yanategemea sehemu ya usalama wao kwenye kile kinachoonekana kwa muda mfupi kwenye skrini.
Jinsi shambulio hilo linatekelezwa
Kwa ujumla, programu hasidi hupanga a shughuli zinazoingiliana na kusawazisha utoaji ili kutenga maeneo mahususi ya kiolesura ambapo data nyeti inaonyeshwa; kisha hutumia tofauti ya wakati wakati wa kuchakata saizi ili kuashiria thamani yao (angalia jinsi Profaili za nguvu huathiri FPS).
- Husababisha programu inayolengwa kuonyesha data (kwa mfano, msimbo wa 2FA au maandishi nyeti).
- Huficha kila kitu isipokuwa eneo linalokuvutia na hubadilisha fremu ya uonyeshaji ili pikseli moja "itawala."
- Hufasiri nyakati za kuchakata GPU (k.m. hali ya aina ya GPU.zip) na kuunda upya yaliyomo.
Kwa kurudia na kusawazisha, programu hasidi hugundua wahusika na kuwakusanya tena kwa kutumia Mbinu za OCRDirisha la wakati linapunguza mashambulizi, lakini ikiwa data inabakia kuonekana kwa sekunde chache, kurejesha kunawezekana.
Upeo na vifaa vilivyoathiriwa
Wasomi walithibitisha mbinu hiyo katika Google Pixel 6, 7, 8 na 9 na katika Samsung Galaxy S25, pamoja na matoleo ya Android 13 hadi 16. Kwa kuwa API zilizotumiwa zinapatikana kwa wingi, wanaonya kwamba "karibu Androids zote za kisasa" inaweza kuathiriwa.
Katika majaribio ya misimbo ya TOTP, shambulio lilipata msimbo mzima kwa viwango vya takriban 73%, 53%, 29% na 53% kwenye Pixel 6, 7, 8 na 9, mtawalia, na kwa wastani wa nyakati karibu na Sek 14,3; 25,8s; Sekunde 24,9 na 25,3, hukuruhusu kupata kabla ya kuisha kwa muda wa misimbo ya muda.
Data gani inaweza kuanguka
Mbali na misimbo ya uthibitishaji (Kithibitishaji cha Google), watafiti walionyesha urejeshaji wa maelezo kutoka kwa huduma kama vile akaunti za Gmail na Google, programu za kutuma ujumbe kama vile Mawimbi, mifumo ya fedha kama vile Venmo au data ya eneo kutoka Ramani za Googlemiongoni mwa wengine.
Pia hukutahadharisha kuhusu data inayosalia kwenye skrini kwa muda mrefu zaidi, kama vile misemo ya kurejesha mkoba au funguo za wakati mmoja; hata hivyo, vipengele vilivyohifadhiwa lakini visivyoonekana (k.m., ufunguo wa siri ambao hauonyeshwa kamwe) ni zaidi ya upeo wa Pixnapping.
Majibu ya Google na Hali ya Kiraka
Ugunduzi huo uliwasilishwa mapema kwa Google, ambayo ilitaja suala hilo kuwa kali na kuchapisha upunguzaji wa awali unaohusishwa na CVE-2025-48561Walakini, watafiti walipata njia za kukwepa, kwa hivyo Kiraka cha ziada kimeahidiwa katika jarida la Desemba na uratibu na Google na Samsung unadumishwa.
Hali ya sasa inapendekeza kwamba kizuizi cha uhakika kitahitaji ukaguzi wa jinsi Android inavyoshughulikia utoaji na viwekeleo kati ya programu, kwani shambulio linatumia kwa usahihi njia hizo za ndani.
Hatua za kupunguza zinazopendekezwa
Kwa watumiaji wa mwisho, inashauriwa kupunguza ufichuaji wa data nyeti kwenye skrini na uchague uthibitishaji sugu wa kuhadaa ili kupata maelezo ya kibinafsi na njia za kando, kama vile. FIDO2/WebAuthn iliyo na funguo za usalama, kuepuka kutegemea pekee misimbo ya TOTP wakati wowote inapowezekana.
- Sasisha kifaa chako na utumie taarifa za usalama pindi tu zinapopatikana.
- Epuka kusakinisha programu kutoka vyanzo ambavyo havijathibitishwa na kagua ruhusa na tabia isiyo ya kawaida.
- Usiweke vifungu vya urejeshi au vitambulisho vinavyoonekana; pendelea pochi za vifaa kulinda funguo.
- Funga skrini haraka na punguza uhakiki wa maudhui nyeti.
Kwa timu za bidhaa na maendeleo, ni wakati wa kagua mtiririko wa uthibitishaji na punguza eneo la kukaribia aliyeambukizwa: punguza maandishi ya siri kwenye skrini, anzisha ulinzi wa ziada katika mionekano muhimu na tathmini mpito wa njia zisizo na kanuni msingi wa vifaa.
Ingawa shambulio hilo linahitaji habari kuonekana, uwezo wake wa kufanya kazi bila ruhusa na kwa chini ya nusu dakika huifanya kuwa tishio kubwa: mbinu ya njia ya kando ambayo inachukua faida ya Muda wa utoaji wa GPU ili kusoma unachokiona kwenye skrini, huku kukiwa na upunguzaji kiasi kidogo leo na urekebishaji wa kina unasubiri.
Mimi ni mpenda teknolojia ambaye amegeuza masilahi yake ya "geek" kuwa taaluma. Nimetumia zaidi ya miaka 10 ya maisha yangu kwa kutumia teknolojia ya kisasa na kuchezea kila aina ya programu kwa udadisi mtupu. Sasa nimebobea katika teknolojia ya kompyuta na michezo ya video. Hii ni kwa sababu kwa zaidi ya miaka 5 nimekuwa nikifanya kazi ya kuandika kwenye tovuti mbalimbali za teknolojia na michezo ya video, nikitengeneza makala zinazotaka kukupa taarifa unazohitaji kwa lugha inayoeleweka na kila mtu.
Ikiwa una maswali yoyote, ujuzi wangu unatoka kwa kila kitu kinachohusiana na mfumo wa uendeshaji wa Windows pamoja na Android kwa simu za mkononi. Na ahadi yangu ni kwako, niko tayari kutumia dakika chache na kukusaidia kutatua maswali yoyote ambayo unaweza kuwa nayo katika ulimwengu huu wa mtandao.