- Pixnapping ruxsatisiz 30 soniyadan kamroq vaqt ichida 2FA kodlari va ekrandagi boshqa maʼlumotlarni oʻgʻirlashi mumkin.
- U boshqa ilovalardan piksellarni aniqlash uchun Android API va GPU yon kanalini suiiste'mol qilish orqali ishlaydi.
- Pixel 6-9 va Galaxy S25 da sinovdan o'tgan; boshlang'ich yamoq (CVE-2025-48561) uni to'liq bloklamaydi.
- FIDO2/WebAuthn-dan foydalanish, ekrandagi nozik ma'lumotlarni minimallashtirish va shubhali manbalardan kelgan ilovalardan qochish tavsiya etiladi.
Tadqiqotchilar guruhi aniqladi Pixnapping, biri Ekranda ko'rsatilgan narsalarni yozib olish va shaxsiy ma'lumotlarni olish qobiliyatiga ega Android telefonlariga hujum qilish texnikasi bir necha soniya ichida 2FA kodlari, xabarlar yoki manzillar kabi ruxsat so'ramasdan.
Asosiysi, muayyan tizim API-larini suiiste'mol qilish va a GPU yon kanali siz ko'rgan piksellar mazmunini chiqarish uchun; jarayon ko'rinmas va ma'lumot ko'rinadigan bo'lib qolguncha samarali bo'ladi Ekranda ko'rsatilmagan sirlarni o'g'irlab bo'lmaydi. Google bilan bog'liq yumshatishlarni joriy qildi CVE-2025-48561, ammo kashfiyot mualliflari qochish yo'llarini ko'rsatdilar va dekabr oyidagi Android xavfsizlik byulletenida yanada kuchaytirish kutilmoqda.
Pixnapping nima va bu nima uchun tashvishli?
Ism "piksel" va "o'g'irlash" ni birlashtiradi chunki hujum tom ma'noda a qiladi "pikselni o'g'irlash" boshqa ilovalarda paydo bo'ladigan ma'lumotlarni qayta tiklash uchun. Bu bir necha yillar avval brauzerlarda qo‘llanilgan, endi zamonaviy Android ekotizimiga yanada silliq va jimgina moslashtirilgan yon kanal usullarining evolyutsiyasidir.
Bu maxsus ruxsatnomalarni talab qilmagani uchun, Pixnapping ruxsat modeliga asoslangan himoyalardan qochadi va deyarli ko'rinmas holda ishlaydi, bu o'z xavfsizligining bir qismini ekranda tez ko'rinadigan narsalarga tayanadigan foydalanuvchilar va kompaniyalar uchun xavfni oshiradi.
Hujum qanday amalga oshiriladi
Umuman olganda, zararli dastur a bir-biriga o'xshash harakatlar va nozik ma'lumotlar ko'rsatiladigan interfeysning muayyan joylarini ajratish uchun renderlashni sinxronlashtiradi; keyin ularning qiymatini aniqlash uchun piksellarni qayta ishlashda vaqt farqidan foydalanadi (qarang Quvvat profillari FPSga ta'sir qiladi).
- Maqsadli ilovaning ma'lumotlarni ko'rsatishiga sabab bo'ladi (masalan, 2FA kodi yoki sezgir matn).
- Qiziqish maydonidan tashqari hamma narsani yashiradi va bitta piksel "hukmron" bo'lishi uchun renderlash ramkasini boshqaradi.
- GPU ishlov berish vaqtlarini sharhlaydi (masalan, GPU.zip tipidagi hodisa) va mazmunini qayta tiklaydi.
Takrorlash va sinxronlash bilan zararli dastur belgilarni ajratib oladi va ularni qayta yig'adi OCR texnikasiVaqt oynasi hujumni cheklaydi, ammo ma'lumotlar bir necha soniya davomida ko'rinadigan bo'lsa, tiklash mumkin.
Qo'llanish doirasi va ta'sirlangan qurilmalar
Olimlar texnikani tekshirishdi Google Pixel 6, 7, 8 va 9 va Samsung Galaxy S25, Android versiyalari 13 dan 16 gacha. Ekspluatatsiya qilingan APIlar keng tarqalganligi sababli ular ogohlantiradilar "deyarli barcha zamonaviy Androidlar" sezgir bo'lishi mumkin.
TOTP kodlari bilan o'tkazilgan testlarda hujum taxminan stavkalar bilan butun kodni tikladi 73%, 53%, 29% va 53% Pixel 6, 7, 8 va 9 da mos ravishda va o'rtacha vaqtlarda yaqin 14,3 soniya; 25,8 s; 24,9 va 25,3 soniya, vaqtinchalik kodlarning amal qilish muddatidan oldinroq olish imkonini beradi.
Qanday ma'lumotlar tushishi mumkin
Bundan tashqari autentifikatsiya kodlari (Google Authenticator), tadqiqotchilar Gmail va Google hisoblari, Signal kabi xabar almashish ilovalari, Venmo kabi moliyaviy platformalar yoki joylashuv maʼlumotlari kabi xizmatlardan maʼlumotlarni qayta tiklashni koʻrsatdilar. Google xaritalari, boshqalar qatori.
Shuningdek, ular ekranda uzoqroq vaqt qoladigan ma'lumotlar haqida ogohlantiradilar, masalan hamyonni tiklash iboralari yoki bir martalik kalitlar; ammo saqlangan, lekin ko‘rinmaydigan elementlar (masalan, hech qachon ko‘rsatilmaydigan maxfiy kalit) Pixnapping doirasidan tashqarida.
Google Response va yamoq holati
Topilma Google’ga oldindan e’lon qilindi, u muammoni yuqori darajada jiddiy deb belgiladi va bu bilan bog‘liq dastlabki yumshatishni e’lon qildi. CVE-2025-48561Biroq, tadqiqotchilar undan qochish usullarini topdilar, shuning uchun Dekabr oyidagi axborot byulletenida qo'shimcha yamoq va'da qilingan va Google va Samsung bilan muvofiqlashtirish saqlanadi.
Mavjud vaziyat shuni ko'rsatadiki, aniq blokirovka Android qanday ishlashini ko'rib chiqishni talab qiladi render va qoplamalar ilovalar o'rtasida, chunki hujum aynan o'sha ichki mexanizmlardan foydalanadi.
Tavsiya etilgan yumshatish choralari
Yakuniy foydalanuvchilar uchun ekrandagi nozik maʼlumotlarning taʼsirini kamaytirish va fishingga chidamli autentifikatsiya va yon kanallarni tanlash tavsiya etiladi. FIDO2/WebAuthn xavfsizlik kalitlari bilan, iloji boricha faqat TOTP kodlariga ishonmaslik.
- Qurilmangizni yangilab turing va xavfsizlik byulletenlarini ular paydo bo'lishi bilanoq qo'llang.
- dan ilovalarni o'rnatishdan saqlaning tasdiqlanmagan manbalar va ruxsatlar va anormal xatti-harakatlarni ko'rib chiqing.
- Qayta tiklash iboralari yoki hisobga olish ma'lumotlarini ko'rinmaydigan qilib qo'ymang; afzal apparat hamyonlari kalitlarni himoya qilish uchun.
- Ekranni tezda qulflang va nozik kontentni oldindan koʻrishni cheklash.
Mahsulot va ishlab chiqish guruhlari uchun vaqt keldi autentifikatsiya oqimlarini ko'rib chiqing va ta'sir qilish yuzasini kamaytiring: ekrandagi maxfiy matnni minimallashtiring, tanqidiy ko'rinishlarda qo'shimcha himoyalarni kiriting va o'tishni baholang kodsiz usullar apparatga asoslangan.
Hujum ma'lumotlarning ko'rinishini talab qilsa-da, uning ishlash qobiliyati ruxsatisiz va yarim daqiqadan kamroq vaqt ichida uni jiddiy tahdidga aylantiradi: afzalliklaridan foydalanadigan yon-kanal texnikasi GPU ko'rsatish vaqtlari bugun qisman yumshatish va chuqurroq tuzatish kutilayotgan holda ekranda ko‘rayotganlaringizni o‘qish uchun.
Men o'zining "geek" qiziqishlarini kasbga aylantirgan texnologiya ishqiboziman. Men hayotimning 10 yildan ko'prog'ini ilg'or texnologiyalardan foydalanish va qiziquvchanlik tufayli har xil dasturlar bilan shug'ullanishga sarfladim. Hozir men kompyuter texnologiyalari va video o'yinlarga ixtisoslashganman. Buning sababi, 5 yildan ortiq vaqt davomida men texnologiya va video o'yinlar bo'yicha turli veb-saytlar uchun yozaman, sizga kerakli ma'lumotlarni hamma uchun tushunarli tilda berishga intiladigan maqolalar yarataman.
Agar sizda biron bir savol bo'lsa, mening bilimlarim Windows operatsion tizimiga, shuningdek, mobil telefonlar uchun Androidga tegishli. Va mening majburiyatim sizga, men har doim bir necha daqiqa sarflashga va ushbu internet olamidagi barcha savollaringizni hal qilishga yordam berishga tayyorman.