פגם באנדרואיד של פיקסנאפינג
חוקרי אבטחת סייבר זיהו פגיעות קריטית המשפיעה על מכשירי אנדרואיד של גוגל וסמסונג, המכונה Pixnapping. מתקפה צדדית זו מאפשרת לאפליקציה זדונית לגנוב בסתר נתונים רגישים, כולל קודי אימות דו-שלבי (2FA) וקווי זמן של מפות גוגל, על ידי לכידת פיקסלים של המסך ללא ידיעת המשתמש. המתקפה פועלת על בסיס פיקסל אחר פיקסל, מה שהופך אותה למדויקת וחשאית ביותר.
תוכן העניינים
איך פיקסנאפינג עובד: גניבת פיקסלים בבסיסה
בליבתה, Pixnapping היא מסגרת גניבת פיקסלים שנועדה לעקוף אמצעי הפחתה סטנדרטיים בדפדפנים ולמקד אפליקציות שאינן דפדפנים כמו Google Authenticator. היא ממנפת ממשקי API של אנדרואיד וערוץ צד של חומרה כדי ללכוד מידע רגיש במהירות, וניתן לחלץ קודי 2FA בפחות מ-30 שניות.
ההתקפה מנצלת את צינור הרינדור של אנדרואיד בצורה ייחודית:
- אפליקציה זדונית כופה פיקסלים של הקורבן לתוך צינור הרינדור באמצעות אינטנקציות אנדרואיד.
- לאחר מכן הוא מחיל ערימה של פעילויות אנדרואיד שקופות למחצה כדי לחשב על פיקסלים אלה.
מתודולוגיה זו משקפת התקפות "בסגנון אבן" שהוגבלו בעבר לדפדפנים, וכעת מותאמות לאפליקציות מקוריות.
מכשירים בסיכון והיקף הפגיעות
המחקר בחן באופן ספציפי חמישה מכשירי גוגל וסמסונג המריצים גרסאות 13 עד 16 של אנדרואיד. בעוד שיצרנים אחרים לא נבדקו, עקרונות ההתקפה הבסיסיים קיימים בכל מכשירי האנדרואיד, מה שהופך את הפלטפורמה לפגיעה באופן כללי.
באופן מפתיע, כל אפליקציית אנדרואיד יכולה לבצע את Pixnapping ללא הרשאות מיוחדות במניפסט שלה. עם זאת, ההתקפה דורשת מהקורבן להתקין ולהפעיל את האפליקציה הזדונית, לעתים קרובות באמצעות הנדסה חברתית או תכסיסים.
מכניקה טכנית: ערוצי צד של GPU וניצול טשטוש חלונות
Pixnapping מתבסס על ערוץ הצד GPU.zip שנחשף בעבר (ספטמבר 2023), אשר מינף תכונות דחיסה במעבדים גרפיים משולבים כדי לגנוב פיקסלים ממקורות שונים בדפדפנים. המתקפה החדשה מרחיבה את הקונספט הזה על ידי שילובו עם ממשק ה-API לטשטוש חלונות של אנדרואיד, מה שמאפשר גניבת פיקסלים מאפליקציות קורבנות.
התהליך עובד כך:
- אפליקציה זדונית שולחת פיקסלים של אפליקציית הקורבן לתוך צינור הרינדור.
- פעילויות שקופות למחצה מונחות על גבי אובייקט באמצעות אינטנציות של אנדרואיד כדי להסוות, להגדיל ולהעביר פיקסלים ממוקדים.
מדוע אנדרואיד פגיע: שלושה גורמים מאפשרים
חוקרים זיהו שלושה תנאים המאפשרים את פעולת הפיקנאפינג:
- הזרקת פעילויות מאפליקציות אחרות לתוך צינור הרינדור של אנדרואיד.
- גרימת פעולות גרפיות (כמו טשטוש) על פיקסלים אלה.
- מדידת תופעות לוואי תלויות צבע של פיקסלים כדי להסיק מידע רגיש.
תגובת גוגל ועדכוני אבטחה
גוגל עקבה אחר Pixnapping תחת CVE-2025-48561 (CVSS 5.5). תיקון פורסם בעלון האבטחה של אנדרואיד מספטמבר 2025, אשר הפחיתה חלקית את ההתקפה. התיקון מטפל בתרחישים שבהם טשטוש מוגזם עלול לשמש לגניבת פיקסלים.
תיקון שני מתוכנן לדצמבר 2025 כדי לסגור וקטור תקיפה חדש שמאפשר מחדש את Pixnapping באמצעות התאמות תזמון. גוגל ציינה כי ניצול דורש נתונים ספציפיים למכשיר ואישרה שאין תוכנות זדוניות פעילות המנצלות פגם זה ב-Google Play.
סיכונים נוספים: זיהוי אפליקציות והשלכות על פרטיות
פיקסנאפינג גם מאפשר לתוקף לזהות אפליקציות המותקנות במכשיר, תוך עקיפת מגבלות שהוטמעו מאז אנדרואיד 11 שנועדו להסתיר רשימות אפליקציות.
ההתקפה מדגישה את הסיכונים הטמונים בשכבות של אפליקציות מובייל, מערכת שבה אפליקציות מקיימות אינטראקציה נרחבת ברחבי מערכת ההפעלה. הגבלה מוחלטת של פונקציונליות אפליקציות בשכבות אינה מעשית; במקום זאת, הגנות עשויות להתמקד במתן אפשרות לאפליקציות רגישות לבטל את הסכמתן ולהגביל את יכולתם של התוקפים לבצע מדידות.
נקודות מפתח עבור משתמשים
פיקסנאפינג היא מתקפה חשאית ביותר הפועלת ללא דרישה להרשאות אפליקציה מוגברות, מה שהופך אותה לחסרת ערך במיוחד. הסיכון עולה כאשר משתמשים מתקינים אפליקציות ממקורות לא מהימנים, מכיוון שאפליקציות זדוניות עלולות לנצל את הפגיעות כדי לגשת למידע רגיש. בעוד שגוגל הוציאה תיקונים חלקיים כדי לטפל בבעיה, צפוי צמצום מלא בדצמבר 2025. בינתיים, על המשתמשים להישאר ערניים, ולעקוב מקרוב אחר אפליקציות 2FA שלהם ונתונים רגישים אחרים עבור סימנים של פעילות חריגה.
