Обнаружена уязвимость Android для кражи кодов двухфакторной аутентификации и личных сообщений

Группа учёных выявила уязвимость в операционной системе Android под названием ПикснэппингS Атака позволяет зараженным устройствам получить коды двухфакторной сертификации, личную переписку и данные геолокации.

Атака требует установки вредоносного приложения на устройство жертвы. Особенность метода в том, что приложению не нужны системные разрешения для доступа к данным из других программ. Атака была продемонстрирована на смартфонах Google Pixel и Samsung Galaxy S25.

Механизм Pixnapping основан на использовании бокового канала GPU.ZIP, который анализирует время визуализации графических кадров. Вредоносное приложение через программные интерфейсы Android вызывает целевое приложение для отображения конфиденциальной информации на экране. Графические операции затем выполняются над отдельными пикселями, а измерения времени их обработки позволяют определить цвет каждого пикселя и восстановить отображаемое изображение.

Ведущий автор исследования Алан Линхао Ван объясняет, что Атака проходит в три этапаS В первом вредоносном приложении целевая программа осуществляется через Android API. Вторые графические операции выполняются над пикселями для определения их цвета. Третьи измеряют время обработки каждой координаты для восстановления полного изображения.

При тестировании Google Pixel с разных моделей атака корректно восстанавливает шестизначные коды двухфакторной аутентификации с вероятностью успеха от 29% до 73% в зависимости от модели устройства. Среднее время кражи одного кода составляет от 14 до 26 секунд, что соответствует 30-секундному периоду действия кода.S На Samsung Galaxy S25 коды не удалось извлечь из-за высокого уровня помех.

Google выпустил частичное исправление уязвимости CVE-2025-48561 в сентябрьском обновлении безопасности Android. Полное исправление запланировано в декабрьском информационном бюллетене по безопасности. Представители компании заявили, что случаев использования уязвимости в реальных условиях не было.