Ученые представили новый способ кражи данных с Android-устройств. Атака Pixnapping способна за считанные секунды похитить одноразовые коды 2FA, фрагменты переписок и другие данные, отображающиеся на экране.
Ученые представили новый способ кражи данных с Android-устройств. Атака Pixnapping способна за считанные секунды похитить одноразовые коды 2FA, фрагменты переписок и другие данные, отображающиеся на экране.
Авторы исследования описывают Pixnapping как «сканирование по пикселям»: злоумышленник вынуждает целевое приложение отрисовать нужную информацию на экране, затем запускает графические операции в своих окнах и с помощью измерения времени рендеринга по отдельным координатам восстанавливает цвет каждого пикселя. По сути это похоже на секретный «скриншот», сделанный через побочный канал аппаратного рендеринга.
Критически важно, что для работы атаки злоумышленнику достаточно заставить пользователя установить приложение, которое не требует никаких системных разрешений. Такое приложение может с помощью стандартных Android-вызовов (activities, intents, tasks) найти интересующие приложения, вызвать у них отображение нужных экранов и затем начать «снимать» пиксели.
На протестированных устройствах команда добилась впечатляющих результатов: на Google Pixel 6, 7, 8 и 9 среднее время восстановления шестизначного кода из Google Authenticator составило соответственно 14,3, 25,8, 24,9 и 25,3 секунды, а точность полного восстановления кода — 73%, 53%, 29% и 53%. На Samsung Galaxy S25 при попытках команды заметили значительный «шум», и в их реализации у этой модели кража 2FA в укладывающийся в 30 секунд интервал не прошла.
Авторы объясняют три основных шага атаки: сначала вредоносное приложение заставляет целевое приложение отобразить нужные данные; затем выполняется «наложение» графических операций в выбранных координатах; в конце измеряются временные характеристики рендеринга, по которым восстанавливаются цвета пикселей и, складывая квадраты, — символы и цифры.
Google уже выпустила частичное исправление уязвимости (CVE-2025-48561) в сентябрьском выпуске обновлений безопасности Android и обещает дополнительный патч в декабрьском бюллетене. В ответе компании отмечено, что массовой эксплуатации уязвимости они не наблюдали. Тем не менее авторы работы предупреждают, что измененные варианты Pixnapping могут обойти обновления.
На практике злоумышленнику все равно нужно убедить пользователя установить вредоносное приложение и настроить его так, чтобы оно могло вызвать нужные экраны в целевых приложениях. Кроме того, помехи и аппаратные различия снижают надежность атаки на некоторых моделях. Эксперты советуют пользователям Android не устанавливать приложения из непроверенных источников, внимательно смотреть на репутацию разработчика и обновлять систему.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.