Атака PixNapping на Android позволяет украсть коды 2FA без специальных разрешений путем манипулирования скриншотами
Двухфакторная аутентификация (2FA) стала стандартом, защищающим наши данные от несанкционированного доступа. Большинство пользователей доверяют этому методу как надежному защитному барьеру. Однако исследователи безопасности постоянно открывают новые векторы атак, которые могут обойти даже такие проверенные меры безопасности. Однако угроза может таиться в одном из наиболее часто выполняемых и, казалось бы, безобидных действий на смартфоне.
Атака PixNapping использует уязвимость в Android для замены снимка экрана пользователя поддельным и в фоновом режиме похищает оригинал с конфиденциальными данными.
Ваша игровая мышь может вас подслушивать. Датчики PixArt PAW3395 и PAW3399 угрожают конфиденциальности пользователей
Команда исследователей из Калифорнийского университета в Беркли, Университета Карнеги-Меллона и Вашингтонского университета представила новый класс атак на Android-устройства. Pixnapping позволяет вредоносным приложениям красть попиксельные данные с экранов других приложений. Атака использует уязвимости в Android API и аппаратную уязвимость GPU.zip, которая затрагивает современные графические процессоры. Pixnapping — это эволюция атак с кражей пикселей, известных в веб-браузерах с 2013 года. Исследователи адаптировали этот метод к мобильной платформе, минуя все средства защиты браузера. В отличие от предыдущих методов, новая атака может украсть данные как с веб-сайтов, так и из собственных приложений Android. Механизм действия основан на трех этапах. Во-первых, вредоносное приложение использует Android Intents для открытия целевых приложений и отправки их пикселей в конвейер рендеринга. Затем он создает набор полупрозрачных действий, накладываемых на приложение-жертву, позволяя изолировать и увеличивать отдельные пиксели. Последний шаг — измерение времени рендеринга кадров, которое зависит от цвета пикселя из-за сжатия графических данных графического процессора.
Чемпионат мира по футболу 2026 года стал целью хакеров. Угрозы включают поддельные билеты, потоковую передачу и товары.
Исследователи протестировали Pixnapping на смартфонах Google Pixel 6, 7, 8, 9 и Samsung Galaxy S25. На устройствах Pixel коды 2FA из Google Authenticator были успешно украдены за 14–25 секунд, эффективность — от 29 до 73 процентов. в зависимости от модели. Атака также затрагивает данные из Gmail, Signal, Venmo, Google Maps и Google Messages. Об уязвимости, обозначенной как CVE-2025-48561, сообщили в Google в феврале 2025 года. В сентябре компания выпустила частичное исправление, но исследователи нашли способ обойти его. Ожидается, что полная безопасность будет представлена в декабрьском бюллетене по безопасности Android. Компания Samsung отнесла проблему к категории низкой серьезности из-за аппаратной сложности своих устройств. Мы неоднократно сообщали о проблемах безопасности в мобильных устройствах, включая взлом Samsung Galaxy S23 во время конкурса Pwn2Own и уязвимости в Android. Проблема Pixnapping показывает, насколько продвинутыми могут быть современные методы атаки, использующие детали реализации операционных систем и графического оборудования.
Источник: Pixnapping, BitDefender, Ars Technica.
