Pixnapping அனுமதியின்றி Android இல் 2FA மற்றும் தரவைத் திருடுகிறது

Pixnapping 2FA குறியீடுகள் மற்றும் பிற திரைத் தரவை அனுமதியின்றி 30 வினாடிகளுக்குள் திருடலாம்.
இது மற்ற பயன்பாடுகளிலிருந்து பிக்சல்களை ஊகிக்க Android APIகள் மற்றும் GPU பக்க சேனலை தவறாகப் பயன்படுத்துவதன் மூலம் செயல்படுகிறது.
Pixel 6-9 மற்றும் Galaxy S25 இல் சோதிக்கப்பட்டது; ஆரம்ப பேட்ச் (CVE-2025-48561) அதை முழுமையாகத் தடுக்கவில்லை.
FIDO2/WebAuthn ஐப் பயன்படுத்துவது, திரையில் முக்கியமான தரவைக் குறைப்பது மற்றும் சந்தேகத்திற்குரிய மூலங்களிலிருந்து வரும் பயன்பாடுகளைத் தவிர்ப்பது பரிந்துரைக்கப்படுகிறது.

ஆண்ட்ராய்டில் பிக்நாப்பிங் தாக்குதல்

ஆராய்ச்சியாளர்கள் குழு ஒன்று வெளிப்படுத்தியுள்ளது பிக்ஸ்நாப்பிங், ஒரு திரையில் காட்டப்படுவதைப் படம்பிடித்து தனிப்பட்ட தரவைப் பிரித்தெடுக்கும் திறன் கொண்ட ஆண்ட்ராய்டு போன்களுக்கு எதிரான தாக்குதல் நுட்பம். 2FA குறியீடுகள், செய்திகள் அல்லது இருப்பிடங்கள் போன்றவை சில நொடிகளில் மற்றும் அனுமதி கேட்காமல்.

சில கணினி APIகளை துஷ்பிரயோகம் செய்வதும் ஒரு GPU பக்க சேனல் நீங்கள் பார்க்கும் பிக்சல்களின் உள்ளடக்கத்தைக் கண்டறிய; தகவல் தெரியும் வரை செயல்முறை கண்ணுக்குத் தெரியாததாகவும் பயனுள்ளதாகவும் இருக்கும், அதே நேரத்தில் திரையில் காட்டப்படாத ரகசியங்களைத் திருட முடியாது.. கூகிள் தொடர்புடைய குறைப்புகளை அறிமுகப்படுத்தியுள்ளது CVE-2025-48561, ஆனால் கண்டுபிடிப்பின் ஆசிரியர்கள் ஏய்ப்பு பாதைகளை நிரூபித்துள்ளனர், மேலும் டிசம்பர் ஆண்ட்ராய்டு பாதுகாப்பு புல்லட்டினில் மேலும் வலுவூட்டல் எதிர்பார்க்கப்படுகிறது.

பிக்ஸ்நாப்பிங் என்றால் என்ன, அது ஏன் கவலைக்குரியது?

பிக்ஸ்நாப்பிங்

பெயர் "பிக்சல்" மற்றும் "கடத்தல்" ஆகியவற்றை ஒருங்கிணைக்கிறது ஏனெனில் தாக்குதல் உண்மையில் ஒரு "பிக்சல் கடத்தல்" பிற பயன்பாடுகளில் தோன்றும் தகவல்களை மறுகட்டமைக்க. இது பல ஆண்டுகளுக்கு முன்பு உலாவிகளில் பயன்படுத்தப்பட்ட பக்க-சேனல் நுட்பங்களின் பரிணாம வளர்ச்சியாகும், இப்போது மென்மையான, அமைதியான செயலாக்கத்துடன் நவீன ஆண்ட்ராய்டு சுற்றுச்சூழல் அமைப்பிற்கு ஏற்றவாறு மாற்றியமைக்கப்பட்டுள்ளது.

பிரத்தியேக உள்ளடக்கம் - இங்கே கிளிக் செய்யவும் ஏமாற்று தாக்குதல்களைக் கண்டறிந்து தடுப்பது எப்படி

இதற்கு சிறப்பு அனுமதிகள் தேவையில்லை என்பதால், பிக்ஸ்நாப்பிங் அனுமதி மாதிரியின் அடிப்படையில் பாதுகாப்புகளைத் தவிர்க்கிறது மற்றும் கிட்டத்தட்ட கண்ணுக்குத் தெரியாமல் செயல்படுகிறது, இது திரையில் உடனடியாகத் தோன்றுவதைப் பொறுத்து தங்கள் பாதுகாப்பின் ஒரு பகுதியை நம்பியிருக்கும் பயனர்கள் மற்றும் நிறுவனங்களுக்கு ஆபத்தை அதிகரிக்கிறது.

தாக்குதல் எவ்வாறு செயல்படுத்தப்படுகிறது

பிக்ஸ்நாப்பிங் எவ்வாறு செயல்படுகிறது

பொதுவாக, தீங்கிழைக்கும் செயலி ஒரு ஒன்றுடன் ஒன்று தொடர்புடைய செயல்பாடுகள் மற்றும் உணர்திறன் தரவு காட்டப்படும் இடைமுகத்தின் குறிப்பிட்ட பகுதிகளை தனிமைப்படுத்த ரெண்டரிங்கை ஒத்திசைக்கிறது; பின்னர் பிக்சல்களை செயலாக்கும்போது அவற்றின் மதிப்பை ஊகிக்க நேர வேறுபாட்டைப் பயன்படுத்துகிறது (எப்படி என்பதைப் பார்க்கவும் பவர் சுயவிவரங்கள் FPS ஐ பாதிக்கின்றன).

இலக்கு பயன்பாட்டை தரவைக் காண்பிக்கச் செய்கிறது (எடுத்துக்காட்டாக, 2FA குறியீடு அல்லது முக்கியமான உரை).
ஆர்வமுள்ள பகுதியைத் தவிர மற்ற அனைத்தையும் மறைத்து, ஒரு பிக்சல் "ஆதிக்கம் செலுத்தும்" வகையில் ரெண்டரிங் சட்டத்தை கையாளுகிறது.
GPU செயலாக்க நேரங்களை விளக்குகிறது (எ.கா. GPU.zip வகை நிகழ்வு) மற்றும் உள்ளடக்கத்தை மறுகட்டமைக்கிறது.

மீண்டும் மீண்டும் மற்றும் ஒத்திசைவுடன், தீம்பொருள் எழுத்துக்களைக் குறைத்து அவற்றைப் பயன்படுத்தி மீண்டும் இணைக்கிறது OCR நுட்பங்கள்நேர சாளரம் தாக்குதலைக் கட்டுப்படுத்துகிறது, ஆனால் தரவு சில வினாடிகள் தெரிந்தால், மீட்பு சாத்தியமாகும்.

நோக்கம் மற்றும் பாதிக்கப்பட்ட சாதனங்கள்

கல்வியாளர்கள் இந்த நுட்பத்தை சரிபார்த்தனர் கூகிள் பிக்சல் 6, 7, 8 மற்றும் 9 மற்றும் இல் சாம்சங் கேலக்ஸி S25, ஆண்ட்ராய்டு பதிப்புகள் 13 முதல் 16 வரை. சுரண்டப்பட்ட APIகள் பரவலாகக் கிடைப்பதால், அவர்கள் எச்சரிக்கிறார்கள் "கிட்டத்தட்ட அனைத்து நவீன ஆண்ட்ராய்டுகளும்" எளிதில் பாதிக்கப்படக்கூடியதாக இருக்கலாம்.

பிரத்தியேக உள்ளடக்கம் - இங்கே கிளிக் செய்யவும் RSA அல்காரிதம் என்றால் என்ன?

TOTP குறியீடுகளைக் கொண்ட சோதனைகளில், தாக்குதல் முழு குறியீட்டையும் தோராயமாக விகிதங்களுடன் மீட்டெடுத்தது 73%, 53%, 29% மற்றும் 53% முறையே Pixel 6, 7, 8 மற்றும் 9 இல், சராசரியாக கிட்டத்தட்ட 14,3வி; 25,8வி; 24,9வி மற்றும் 25,3வி, தற்காலிக குறியீடுகளின் காலாவதியை முன்கூட்டியே பெற உங்களை அனுமதிக்கிறது.

என்ன தரவு விழக்கூடும்?

கூடுதலாக அங்கீகார குறியீடுகள் (Google அங்கீகரிப்பான்), ஆராய்ச்சியாளர்கள் ஜிமெயில் மற்றும் கூகிள் கணக்குகள் போன்ற சேவைகள், சிக்னல் போன்ற செய்தியிடல் பயன்பாடுகள், வென்மோ போன்ற நிதி தளங்கள் அல்லது இருப்பிடத் தரவுகளிலிருந்து தகவல்களை மீட்டெடுப்பதைக் காட்டினர். கூகுள் மேப்ஸ், மற்றவர்கள் மத்தியில்.

அவை திரையில் நீண்ட நேரம் இருக்கும் தரவு குறித்தும் உங்களுக்கு எச்சரிக்கை விடுக்கின்றன, எடுத்துக்காட்டாக பணப்பை மீட்பு சொற்றொடர்கள் அல்லது ஒரு முறை விசைகள்; இருப்பினும், சேமிக்கப்பட்ட ஆனால் புலப்படாத கூறுகள் (எ.கா., ஒருபோதும் காட்டப்படாத ஒரு ரகசிய விசை) Pixnapping இன் எல்லைக்கு அப்பாற்பட்டவை.

கூகிள் பதில் மற்றும் இணைப்பு நிலை

இந்தக் கண்டுபிடிப்பு முன்கூட்டியே கூகிளுக்குத் தெரிவிக்கப்பட்டது, அது இந்தப் பிரச்சினையை அதிக தீவிரத்தன்மை கொண்டதாகக் குறிப்பிட்டு, அதனுடன் தொடர்புடைய ஆரம்பக் குறைப்பை வெளியிட்டது CVE-2025-48561இருப்பினும், ஆராய்ச்சியாளர்கள் அதைத் தவிர்ப்பதற்கான வழிகளைக் கண்டறிந்தனர், எனவே டிசம்பர் செய்திமடலில் கூடுதல் இணைப்பு உறுதியளிக்கப்பட்டுள்ளது. மேலும் கூகிள் மற்றும் சாம்சங்குடனான ஒருங்கிணைப்பு பராமரிக்கப்படுகிறது.

தற்போதைய சூழ்நிலை, ஒரு உறுதியான தொகுதிக்கு Android எவ்வாறு கையாளுகிறது என்பதை மதிப்பாய்வு செய்ய வேண்டும் என்பதைக் குறிக்கிறது. ரெண்டரிங் மற்றும் மேலடுக்குகள் பயன்பாடுகளுக்கு இடையில், தாக்குதல் அந்த உள் வழிமுறைகளை துல்லியமாக சுரண்டுவதால்.

பிரத்தியேக உள்ளடக்கம் - இங்கே கிளிக் செய்யவும் போலி தளத்தை எவ்வாறு அங்கீகரிப்பது

பரிந்துரைக்கப்பட்ட தணிப்பு நடவடிக்கைகள்

பிக்னாப்பிங் என்றால் என்ன?

இறுதி பயனர்களுக்கு, திரையில் உணர்திறன் தரவின் வெளிப்பாட்டைக் குறைத்து, ஃபிஷிங்-எதிர்ப்பு அங்கீகாரம் மற்றும் பக்க சேனல்களைத் தேர்ந்தெடுப்பது நல்லது, எடுத்துக்காட்டாக பாதுகாப்பு விசைகளுடன் FIDO2/WebAuthn, முடிந்தவரை TOTP குறியீடுகளை மட்டுமே நம்பியிருப்பதைத் தவிர்க்கவும்.

சாதனத்தைப் புதுப்பித்த நிலையில் வைத்திருங்கள் மேலும் பாதுகாப்பு அறிவிப்புகள் கிடைத்தவுடன் அவற்றைப் பயன்படுத்தவும்.
இதிலிருந்து பயன்பாடுகளை நிறுவுவதைத் தவிர்க்கவும் சரிபார்க்கப்படாத ஆதாரங்கள் மற்றும் அனுமதிகள் மற்றும் முரண்பாடான நடத்தையை மதிப்பாய்வு செய்யவும்.
மீட்பு சொற்றொடர்களையோ அல்லது சான்றுகளையோ தெரியும்படி வைக்க வேண்டாம்; விரும்பவும் வன்பொருள் பணப்பைகள் சாவிகளைப் பாதுகாக்க.
திரையை விரைவாகப் பூட்டுங்கள் மற்றும் முக்கியமான உள்ளடக்கத்தின் முன்னோட்டங்களைக் கட்டுப்படுத்துங்கள்.

தயாரிப்பு மற்றும் மேம்பாட்டுக் குழுக்களுக்கு, இது நேரம் அங்கீகாரப் பாய்வுகளை மதிப்பாய்வு செய்யவும் மற்றும் வெளிப்பாடு மேற்பரப்பைக் குறைத்தல்: திரையில் ரகசிய உரையைக் குறைத்தல், முக்கியமான காட்சிகளில் கூடுதல் பாதுகாப்புகளை அறிமுகப்படுத்துதல் மற்றும் மாற்றத்தை மதிப்பீடு செய்தல் குறியீடு இல்லாத முறைகள் வன்பொருள் சார்ந்த.

தாக்குதலுக்குத் தகவல் தெரியும்படி இருக்க வேண்டும் என்றாலும், அதன் செயல்பாட்டுத் திறன் அனுமதி இல்லாமல் அரை நிமிடத்திற்குள் அதை ஒரு கடுமையான அச்சுறுத்தலாக ஆக்குகிறது: ஒரு பக்க-சேனல் நுட்பம் இதைப் பயன்படுத்திக் கொள்கிறது GPU ரெண்டரிங் நேரங்கள் திரையில் நீங்கள் காண்பதைப் படிக்க, இன்று ஓரளவு குறைப்புகள் மற்றும் ஒரு ஆழமான தீர்வு நிலுவையில் உள்ளது.

தொடர்புடைய கட்டுரை:

Galaxy S26 Ultra: புதிய தனியுரிமைத் திரை இப்படித்தான் இருக்கும்

ஆல்பர்டோ நவரோ

நான் ஒரு தொழில்நுட்ப ஆர்வலர், அவர் தனது "கீக்" ஆர்வங்களை ஒரு தொழிலாக மாற்றியுள்ளார். எனது வாழ்நாளில் 10 ஆண்டுகளுக்கும் மேலாக அதிநவீன தொழில்நுட்பத்தைப் பயன்படுத்தி, அனைத்து வகையான திட்டங்களையும் ஆர்வத்துடன் பயன்படுத்தினேன். இப்போது நான் கணினி தொழில்நுட்பம் மற்றும் வீடியோ கேம்களில் நிபுணத்துவம் பெற்றுள்ளேன். ஏனென்றால், 5 ஆண்டுகளுக்கும் மேலாக தொழில்நுட்பம் மற்றும் வீடியோ கேம்கள் குறித்து பல்வேறு இணையதளங்களில் எழுதி வருகிறேன், அனைவருக்கும் புரியும் மொழியில் உங்களுக்குத் தேவையான தகவல்களைத் தர முற்படும் கட்டுரைகளை உருவாக்கி வருகிறேன்.

உங்களிடம் ஏதேனும் கேள்விகள் இருந்தால், எனது அறிவு விண்டோஸ் இயங்குதளம் மற்றும் மொபைல் போன்களுக்கான ஆண்ட்ராய்டு தொடர்பான அனைத்திலிருந்தும் பரவுகிறது. மேலும் எனது அர்ப்பணிப்பு உங்களிடம் உள்ளது, நான் எப்போதும் சில நிமிடங்களைச் செலவழித்து, இந்த இணைய உலகில் உங்களுக்கு ஏதேனும் சந்தேகங்களைத் தீர்க்க உதவ தயாராக இருக்கிறேன்.