- פּיקסענאַפּינג קען גנבענען 2FA קאָודן און אַנדערע דאַטן אויף דעם עקראַן אין ווייניקער ווי 30 סעקונדעס אָן דערלויבעניש.
- עס אַרבעט דורך מיסברויכן אַנדרויד APIs און אַ GPU זייַט קאַנאַל צו אַרײַנפירן פּיקסעלס פֿון אַנדערע אַפּפּס.
- געטעסט אויף פּיקסעל 6-9 און גאַלאַקסי S25; דער ערשטער פּאַטש (CVE-2025-48561) בלאָקירט עס נישט גאָר.
- עס איז רעקאָמענדירט צו ניצן FIDO2/WebAuthn, מינימיזירן סענסיטיווע דאטן אויפן עקראַן, און אויסמיידן אַפּפּס פון צווייפלהאַפֿטע קוועלער.
א גרופע פון פארשער האט אנטפלעקט פּיקסעפּינג, א אטאקע טעכניק קעגן אַנדרויד טעלעפאָנען וואָס איז טויגיק צו כאַפּן וואָס ווערט געוויזן אויף דעם עקראַן און עקסטראַקטירן פּריוואַטע דאַטן ווי למשל 2FA קאודס, מעסעדזשעס אדער לאקאציעס אין סעקונדעס און אָן בעטן דערלויבעניש.
דער שליסל איז צו מיסברויכן געוויסע סיסטעם APIs און א GPU זייט קאַנאַל צו דעדוצירן דעם אינהאַלט פון די פּיקסעלס וואָס איר זעט; דער פּראָצעס איז נישט קענטיק און עפעקטיוו ווי לאַנג ווי די אינפֿאָרמאַציע בלייבט קענטיק, בשעת סודות וואָס ווערן נישט געוויזן אויפן עקראַן קענען נישט געגנבעט ווערןגוגל האט איינגעפירט מיטלען פארבונדן מיט CVE-2025-48561, אבער די מחברים פון דער ענטדעקונג האבן דעמאנסטרירט אויסמיידונג וועגן, און ווייטערדיגע פארשטארקונג ווערט ערווארטעט אין דעם דעצעמבער אַנדרויד זיכערהייט בולעטין.
וואָס איז פּיקסענאַפּינג און פאַרוואָס איז עס אַ זאָרג?
דער נאָמען קאָמבינירט "פּיקסעל" און "קידנעפּינג" ווייל דער אטאקע מאכט ממש א "פּיקסעל כיידזשעקינג" צו רעקאָנסטרויִרן אינפֿאָרמאַציע וואָס דערשיינט אין אַנדערע אַפּפּס. דאָס איז אַן עוואָלוציע פֿון זײַט-קאַנאַל טעכניקן וואָס זענען געניצט געוואָרן יאָרן צוריק אין בראַוזערס, איצט אַדאַפּטירט צום מאָדערנעם אַנדרויד עקאָסיסטעם מיט אַ גלאַטערער, שטילערער אויספֿירונג.
ווייל עס דארף נישט קיין ספעציעלע דערלויבענישן, פּיקסעפּינג פֿאַרמייַדט פֿאַרטיידיקונגען באַזירט אויף דעם דערלויבעניש מאָדעל און אַרבעט כּמעט אומזעיקבאר, וואָס פאַרגרעסערט דעם ריזיקאָ פֿאַר באַניצער און פֿירמעס וואָס פֿאַרלאָזן זיך אַ טייל פֿון זייער זיכערהייט אויף וואָס דערשיינט פֿאַר אַ קורצער צײַט אויפֿן עקראַן.
ווי דער אטאקע ווערט אויסגעפירט
אין אלגעמיין טערמינען, די בייזוויליקע אַפּ אָרקעסטרירט אַ איבערלאַפּנדיקע אַקטיוויטעטן און סינקראָניזירט רענדערינג צו אפגעזונדערן ספּעציפֿישע געביטן פון דעם צובינד וואו סענסיטיווע דאַטן ווערן געוויזן; דערנאָך נוצט אויס דעם צייט-אונטערשייד ווען מען פּראַסעסירט פּיקסעלס צו פֿאַרשטיין זייער ווערט (זען ווי מאַכט פּראָופיילז ווירקן FPS).
- פאַראורזאַכט אַז די ציל אַפּ זאָל ווייַזן די דאַטן (למשל, אַ 2FA קאָד אָדער סענסיטיוו טעקסט).
- באַהאַלט אַלץ אַחוץ דעם געגנט פון אינטערעס און מאַניפּולירט דעם רענדערינג ראַם אַזוי אַז איין פּיקסעל "דאָמינירט".
- אינטערפּרעטירט GPU פּראַסעסינג צייטן (למשל GPU.zip טיפ פענאמען) און רעקאָנסטרויִרט דעם אינהאַלט.
מיט איבערחזרן און סינקראניזאציע, דידוצירט די מאלווער אותיות און סעטאַפּלט זיי ווידער ניצנדיק OCR טעקניקסדי צייט פֿענצטער באַגרענעצט דעם אַטאַק, אָבער אויב די דאַטן בלייבן קענטיק פֿאַר אַ פּאָר סעקונדעס, איז אָפּזוך מעגלעך.
פאַרנעם און אַפעקטירטע דעוויסעס
די אַקאַדעמיקער האָבן באַשטעטיקט די טעכניק אין גוגל פּיקסעל 6, 7, 8 און 9 y en el סאַמסונג גאַלאַקסי S25, מיט אַנדרויד ווערסיעס 13 ביז 16. זינט די אויסגעניצטע APIs זענען ברייט בנימצא, וואָרענען זיי אַז "כּמעט אַלע מאָדערנע אַנדרוידן" קען זיין סאַסעפּטאַבאַל.
אין טעסטן מיט TOTP קאודס, האט די אטאקע צוריקגעכאפט דעם גאנצן קאד מיט ראטעס פון בערך 73%, 53%, 29% און 53% אויף פּיקסעל 6, 7, 8 און 9, ריספּעקטיוולי, און אין דורכשניטלעכע צייטן נאָענט צו 14,3 סעקונדעס; 25,8 סעקונדעס; 24,9 סעקונדעס און 25,3 סעקונדעס, אַלאַוינג איר צו באַקומען פאָרויס פון די עקספּיריישאַן פון צייַטווייַליק קאָודז.
וואָס דאַטן קענען פאַלן
אין צוגאב צו אויטענטיפֿיקאַציע קאָדן (גוגל אויטענטיפֿיקאַטאָר), האבן פארשער געוויזן אז מען קען צוריקקריגן אינפארמאציע פון סערוויסעס ווי דזשימעיל און גוגל אקאונטס, מעסעדזשינג אפליקאציעס ווי סיגנאל, פינאנציעלע פלאטפארמעס ווי ווענמא אדער לאקאציע דאטן פון גוגל מאַפּסצווישן אנדערע.
זיי וואָרענען אייך אויך וועגן דאַטן וואָס בלייבן אויפן עקראַן פֿאַר לענגערע צייטן, ווי צום ביישפּיל וואָלאַט אָפּזוך פראַזעס אדער איין-מאליגע שליסלען; אבער, אויפגעהיטע אבער נישט קענטיקע עלעמענטן (למשל, א געהיימע שליסל וואס ווערט קיינמאל נישט געוויזן) זענען ווייטער פון די ראמען פון פיקסענאפינג.
גוגל רעספּאָנס און פּאַטש סטאַטוס
די געפינס איז געווארן מיטגעטיילט פריער צו גוגל, וואס האט באצייכנט די פראבלעם אלס הויך ערנסטקייט און ארויסגעגעבן אן ערשטע פארמינדערונג פארבונדן מיט CVE-2025-48561אבער, די פארשער האבן געפונען מעטאדן ווי אזוי עס אויסצומיידן, אזוי א צוגאב פּאַטש איז צוגעזאָגט געוואָרן אין דעצעמבער נוזלעטער און קאָאָרדינאַציע מיט גוגל און סאַמסונג ווערט אויפגעהאלטן.
די איצטיקע סיטואַציע פֿאָרשלאָגט אַז אַ דעפֿיניטיווע בלאָק וועט פֿאָדערן אַ רעוויזיע פֿון ווי אַנדרויד האַנדלט רענדערינג און אָוווערלייז צווישן אַפּליקאַציעס, ווײַל דער אַטאַק נוצט פּונקט די אינערלעכע מעכאַניזמען.
רעקאָמענדירטע פֿאַרמינדערונג מיטלען
פֿאַר ענד-באַניצער, איז עס ראַטזאַם צו רעדוצירן די ויסשטעלן פון סענסיטיווע דאַטן אויף דעם עקראַן און קלייַבן פֿאַר פישינג-קעגנשטעליק אָטענטאַקיישאַן און זייַט טשאַנאַלז, אַזאַ ווי FIDO2/WebAuthn מיט זיכערהייט שליסלען, אויסמיידנדיק זיך צו פֿאַרלאָזן אויסשליסלעך אויף TOTP קאָודן ווען מעגלעך.
- האַלטן דיין מיטל דערהייַנטיקט און צולייגן זיכערהייט בולעטינען אזוי שנעל ווי זיי ווערן בנימצא.
- פֿאַרמײַדן צו אינסטאַלירן אַפּפּס פֿון נישט-באשטעטיגטע קוועלער און איבערקוקן פּערמישאַנז און אַנאַמאַלאַס נאַטור.
- האַלט נישט קיין אָפּזוך פראַזעס אָדער קרעדענשאַלז קענטיק; בעסער האַרדווער וואָלאַץ צו היטן שליסלען.
- פארשלאס דעם עקראַן שנעל און באגרענעצן פאָרויסיקע ווייַזונגען פון סענסיטיוו אינהאַלט.
פֿאַר פּראָדוקט און אַנטוויקלונג טימז, איז עס צייט צו איבערקוקן אויטענטיפֿיקאַציע פֿלוסן און רעדוצירן עקספּאָוזשער ייבערפלאַך: מינאַמייז געהיימע טעקסט אויף דעם עקראַן, פאָרשטעלן נאָך פּראַטעקשאַנז אין קריטישע קוקן און אָפּשאַצן די יבערגאַנג צו קאָד-פֿרײַע מעטאָדן האַרדווער-באַזירט.
כאָטש דער אַטאַק פארלאנגט אַז די אינפֿאָרמאַציע זאָל זיין קענטיק, איז זיין פיייקייט צו אַרבעטן אָן דערלויבעניש און אין ווייניקער ווי אַ האַלב מינוט מאכט עס א ערנסטע סכנה: א זייט-קאַנאַל טעכניק וואָס נוצט אויס די GPU רענדערינג צייטן צו לייענען וואָס איר זעט אויף דעם עקראַן, מיט טיילווייזע פֿאַרבעסערונגען הייַנט און אַ טיפֿערע פֿאַרריכטונג וואַרטנדיק.
איך בין אַ טעכנאָלאָגיע ענטוזיאַסט וואָס האט פארוואנדלען זיין "גיק" אינטערעסן אין אַ פאַך. איך האָבן פארבראכט מער ווי 10 יאָר פון מיין לעבן ניצן קאַטינג-ברעג טעכנאָלאָגיע און טינגקינג מיט אַלע מינים פון מגילה אויס פון ריין נייַגעריקייַט. איצט איך האָבן ספּעשאַלייזד אין קאָמפּיוטער טעכנאָלאָגיע און ווידעא שפּילערייַ. דאָס איז ווייַל פֿאַר מער ווי 5 יאָר איך אַרבעט מיט שרייבן פֿאַר פאַרשידן וועבסיטעס אויף טעכנאָלאָגיע און ווידעא שפּילערייַ, שאַפֿן אַרטיקלען וואָס זוכן צו געבן איר די אינפֿאָרמאַציע איר דאַרפֿן אין אַ שפּראַך וואָס איז פאַרשטיייק פֿאַר אַלעמען.
אויב איר האָט פֿראגן, מיין וויסן ריינדזשאַז פון אַלץ שייַכות צו די Windows אָפּערייטינג סיסטעם און אַנדרויד פֿאַר רירעוודיק פאָנעס. און מיין היסכייַוועס איז צו איר, איך בין שטענדיק גרייט צו פאַרברענגען אַ ביסל מינוט און העלפֿן איר האַלטן אַלע פֿראגן וואָס איר קען האָבן אין דעם אינטערנעט וועלט.