ثغرة Pixnapping في نظام Android

حدد باحثو الأمن السيبراني ثغرة أمنية حرجة تؤثر على أجهزة أندرويد من جوجل وسامسونج، تُعرف باسم Pixnapping. يسمح هذا الهجوم الجانبي لتطبيق خبيث بسرقة بيانات حساسة سرًا، بما في ذلك رموز المصادقة الثنائية (2FA) والجداول الزمنية لخرائط جوجل، عن طريق التقاط بكسلات الشاشة دون علم المستخدم. يعمل الهجوم بكسلًا بكسلًا، مما يجعله دقيقًا للغاية وسريًا.

كيف تعمل عملية التقاط الصور: سرقة البكسل في جوهرها

في جوهره، Pixnapping هو إطار عمل لسرقة البكسل، مصمم لتجاوز إجراءات المتصفح القياسية واستهداف التطبيقات غير المرتبطة بالمتصفح مثل Google Authenticator. يستخدم واجهات برمجة تطبيقات Android وقناة جانبية للأجهزة لالتقاط المعلومات الحساسة بسرعة، ويمكن استخراج رموز المصادقة الثنائية في أقل من 30 ثانية.

يستغل الهجوم خط أنابيب عرض Android بطريقة فريدة:

• يفرض تطبيق ضار على وحدات البكسل الضحية الدخول إلى خط أنابيب العرض باستخدام نوايا Android.
• ثم يقوم بتطبيق مجموعة من أنشطة Android شبه الشفافة لإجراء العمليات الحسابية على تلك البكسلات.

تعكس هذه المنهجية هجمات "على غرار الحجر" التي كانت مقتصرة في السابق على المتصفحات، والتي تم تكييفها الآن للتطبيقات الأصلية.

الأجهزة المعرضة للخطر ونطاق الثغرة الأمنية

وقد فحص البحث على وجه التحديد خمسة أجهزة من جوجل وسامسونج تعمل بنظام أندرويد بإصدارات 13 إلى 16. وفي حين لم يتم اختبار الشركات المصنعة الأخرى، فإن المبادئ الأساسية للهجوم موجودة على جميع أجهزة أندرويد، مما يجعل المنصة عرضة للخطر على نطاق واسع.

من اللافت للنظر أن أي تطبيق أندرويد قادر على تنفيذ عملية Pixnapping دون الحاجة إلى أذونات خاصة في بيانه. ومع ذلك، يتطلب الهجوم من الضحية تثبيت التطبيق الخبيث وتشغيله، غالبًا من خلال الهندسة الاجتماعية أو الخداع.

الميكانيكا التقنية: القنوات الجانبية لوحدة معالجة الرسومات (GPU) واستغلال تشويش النافذة

يعتمد هجوم Pixnapping على القناة الجانبية GPU.zip التي تم الكشف عنها سابقًا (سبتمبر 2023)، والتي كانت تستغل ميزات الضغط في وحدات معالجة الرسومات المدمجة لسرقة وحدات البكسل من مصادر متعددة في المتصفحات. يُوسّع الهجوم الجديد هذا المفهوم بدمجه مع واجهة برمجة تطبيقات Android لتمويه النوافذ، مما يُتيح سرقة وحدات البكسل من التطبيقات المُستهدفة.

تتم العملية على النحو التالي:

• يرسل التطبيق الضار وحدات بكسل التطبيق الضحية إلى خط أنابيب العرض.
• تتم تغطية الأنشطة شبه الشفافة باستخدام نوايا Android لإخفاء وحدات البكسل المستهدفة وتكبيرها ونقلها.

لماذا يُعد نظام أندرويد عرضة للخطر: ثلاثة عوامل تمكينية

حدد الباحثون ثلاثة شروط تجعل Pixnapping ممكنًا:

• حقن الأنشطة من تطبيقات أخرى في خط أنابيب عرض Android.
• إحداث عمليات رسومية (مثل التمويه) على هذه البكسلات.
• قياس التأثيرات الجانبية المعتمدة على لون البكسل لاستنتاج معلومات حساسة.

استجابة جوجل وتحديثات الأمان

رصدت جوجل ثغرة Pixnapping تحت CVE-2025-48561 (CVSS 5.5). صدر تصحيح في نشرة أمان أندرويد لشهر سبتمبر 2025، خفف جزئيًا من حدة الهجوم. يعالج هذا التصحيح الحالات التي قد يُستخدم فيها التمويه المفرط لسرقة البكسلات.

من المقرر إصدار تصحيح ثانٍ في ديسمبر 2025 لإغلاق ثغرة هجومية جديدة تُعيد تفعيل Pixnapping عبر تعديلات التوقيت. أشارت جوجل إلى أن الاستغلال يتطلب بيانات خاصة بالجهاز، وأكدت عدم وجود برامج ضارة نشطة تستغل هذه الثغرة على متجر جوجل بلاي.

المخاطر الإضافية: اكتشاف التطبيقات وتداعياتها على الخصوصية

يتيح Pixnapping أيضًا للمهاجم اكتشاف التطبيقات المثبتة على الجهاز، متجاوزًا القيود المطبقة منذ Android 11 المصممة لإخفاء قوائم التطبيقات.

يُسلّط الهجوم الضوء على المخاطر الكامنة في نظام طبقات تطبيقات الهاتف المحمول، وهو نظام تتفاعل فيه التطبيقات على نطاق واسع عبر نظام التشغيل. يُعدّ تقييد وظائف التطبيقات الطبقية بالكامل أمرًا غير عملي؛ بل قد تُركّز الدفاعات على السماح للتطبيقات الحساسة برفض الاشتراك، والحدّ من قدرة المهاجمين على إجراء القياسات.

النقاط الرئيسية للمستخدمين

Pixnapping هجوم خفي للغاية يعمل دون الحاجة إلى أذونات تطبيقية مُحسّنة، مما يجعله خبيثًا للغاية. يزداد الخطر عند تثبيت المستخدمين للتطبيقات من مصادر غير موثوقة، حيث يمكن للتطبيقات الضارة استغلال الثغرة للوصول إلى معلومات حساسة. على الرغم من أن جوجل أصدرت تصحيحات جزئية لمعالجة هذه المشكلة، إلا أنه من المتوقع تخفيفها بالكامل في ديسمبر 2025. في غضون ذلك، يجب على المستخدمين توخي الحذر، ومراقبة تطبيقات المصادقة الثنائية الخاصة بهم والبيانات الحساسة الأخرى عن كثب بحثًا عن أي علامات على نشاط غير عادي.