Pixnapping Android Flaw

साइबर सुरक्षा शोधकर्ताओं ने गूगल और सैमसंग के एंड्रॉइड डिवाइसों को प्रभावित करने वाली एक गंभीर खामी की पहचान की है, जिसे पिक्सनैपिंग कहा जाता है। यह साइड-चैनल हमला एक दुर्भावनापूर्ण ऐप को उपयोगकर्ता की जानकारी के बिना स्क्रीन पिक्सल कैप्चर करके, दो-कारक प्रमाणीकरण (2FA) कोड और गूगल मैप्स टाइमलाइन सहित संवेदनशील डेटा को गुप्त रूप से चुराने की अनुमति देता है। यह हमला पिक्सेल-दर-पिक्सेल आधार पर संचालित होता है, जिससे यह बेहद सटीक और गुप्त होता है।

पिक्सनैपिंग कैसे काम करती है: इसके मूल में पिक्सेल-चोरी

मूलतः, पिक्सनैपिंग एक पिक्सेल-चोरी करने वाला ढाँचा है जिसे मानक ब्राउज़र शमन को दरकिनार करके Google प्रमाणक जैसे गैर-ब्राउज़र ऐप्स को लक्षित करने के लिए डिज़ाइन किया गया है। यह संवेदनशील जानकारी को तेज़ी से कैप्चर करने के लिए Android API और एक हार्डवेयर साइड-चैनल का लाभ उठाता है, 2FA कोड 30 सेकंड से भी कम समय में निकाले जा सकते हैं।

यह हमला एंड्रॉयड की रेंडरिंग पाइपलाइन का अनोखे तरीके से फायदा उठाता है:

• एक दुर्भावनापूर्ण ऐप एंड्रॉइड इंटेंट का उपयोग करके पीड़ित पिक्सल को रेंडरिंग पाइपलाइन में डाल देता है।
• इसके बाद यह उन पिक्सल पर गणना करने के लिए अर्ध-पारदर्शी एंड्रॉइड गतिविधियों का एक स्टैक लागू करता है।

यह कार्यप्रणाली 'स्टोन-शैली' के हमलों को प्रतिबिम्बित करती है, जो पहले ब्राउज़रों तक सीमित थी, अब इसे मूल ऐप्स के लिए अनुकूलित किया गया है।

जोखिम में उपकरण और भेद्यता का दायरा

शोध में विशेष रूप से एंड्रॉयड संस्करण 13 से 16 तक चलने वाले पांच गूगल और सैमसंग उपकरणों की जांच की गई। हालांकि अन्य निर्माताओं का परीक्षण नहीं किया गया है, लेकिन हमले के अंतर्निहित सिद्धांत सभी एंड्रॉयड उपकरणों पर मौजूद हैं, जिससे यह प्लेटफॉर्म व्यापक रूप से संवेदनशील हो जाता है।

उल्लेखनीय रूप से, कोई भी एंड्रॉइड ऐप अपने मेनिफ़ेस्ट में विशेष अनुमतियों के बिना भी पिक्सनैपिंग को अंजाम दे सकता है। हालाँकि, हमले के लिए पीड़ित को अक्सर सोशल इंजीनियरिंग या चालाकी के ज़रिए दुर्भावनापूर्ण ऐप इंस्टॉल और लॉन्च करना पड़ता है।

तकनीकी यांत्रिकी: GPU साइड-चैनल और विंडो ब्लर एक्सप्लॉइट्स

पिक्सनैपिंग पहले से प्रकट GPU.zip साइड-चैनल (सितंबर 2023) पर आधारित है, जो ब्राउज़रों में क्रॉस-ओरिजिन पिक्सल चुराने के लिए एकीकृत GPU में कम्प्रेशन सुविधाओं का लाभ उठाता है। नया हमला इस अवधारणा को एंड्रॉइड के विंडो ब्लर API के साथ जोड़कर विस्तारित करता है, जिससे पीड़ित ऐप्स से पिक्सल चुराना संभव हो जाता है।

यह प्रक्रिया निम्न प्रकार से काम करती है:

• एक दुर्भावनापूर्ण ऐप पीड़ित ऐप पिक्सेल को रेंडरिंग पाइपलाइन में भेजता है।
• लक्षित पिक्सल को छिपाने, बड़ा करने और संचारित करने के लिए एंड्रॉइड इंटेंट का उपयोग करके अर्ध-पारदर्शी गतिविधियों को ओवरले किया जाता है।

• संवेदनशील डेटा वाले प्रत्येक पिक्सेल को अलग किया जाता है और क्रमिक रूप से निकाला जाता है।

• इससे हमलावरों को 2FA कोड या अन्य गोपनीय सामग्री को पिक्सेल दर पिक्सेल पुनः निर्मित करने की सुविधा मिल जाती है।

एंड्रॉइड क्यों असुरक्षित है: तीन कारक

शोधकर्ताओं ने तीन स्थितियों की पहचान की है जो पिक्सनैपिंग को संभव बनाती हैं:

• अन्य ऐप्स से गतिविधियों को एंड्रॉइड रेंडरिंग पाइपलाइन में इंजेक्ट करना।
• इन पिक्सल्स पर ग्राफिकल ऑपरेशन (जैसे धुंधलापन) प्रेरित करना।
• संवेदनशील जानकारी का अनुमान लगाने के लिए पिक्सेल रंग-निर्भर दुष्प्रभावों को मापना।

Google की प्रतिक्रिया और सुरक्षा अपडेट

Google ने CVE-2025-48561 (CVSS 5.5) के तहत पिक्सनैपिंग को ट्रैक किया है। सितंबर 2025 के एंड्रॉइड सिक्योरिटी बुलेटिन में एक पैच जारी किया गया था, जिसने इस हमले को आंशिक रूप से कम किया। यह पैच उन परिदृश्यों को संबोधित करता है जहाँ अत्यधिक धुंधलापन का उपयोग पिक्सेल चुराने के लिए किया जा सकता है।

दिसंबर 2025 में एक दूसरा पैच जारी किया जाएगा जो एक नए हमले के वेक्टर को बंद करेगा जो समय समायोजन के माध्यम से पिक्सनैपिंग को फिर से सक्षम बनाता है। गूगल ने बताया कि शोषण के लिए डिवाइस-विशिष्ट डेटा की आवश्यकता होती है और गूगल प्ले पर इस दोष का फायदा उठाने वाले किसी भी सक्रिय मैलवेयर की पुष्टि नहीं की गई है।

अतिरिक्त जोखिम: ऐप पहचान और गोपनीयता संबंधी निहितार्थ

पिक्सनैपिंग एक हमलावर को डिवाइस पर इंस्टॉल किए गए ऐप्स का पता लगाने की अनुमति देता है, जो कि ऐप सूचियों को छिपाने के लिए डिज़ाइन किए गए एंड्रॉइड 11 के बाद से लागू प्रतिबंधों को दरकिनार करता है।

यह हमला मोबाइल ऐप लेयरिंग में निहित जोखिमों को उजागर करता है, एक ऐसी प्रणाली जहाँ ऐप्स पूरे ऑपरेटिंग सिस्टम में व्यापक रूप से परस्पर क्रिया करते हैं। लेयर्ड ऐप की कार्यक्षमता को पूरी तरह से प्रतिबंधित करना अव्यावहारिक है; इसके बजाय, बचाव के उपाय संवेदनशील ऐप्स को ऑप्ट-आउट करने और हमलावरों की माप करने की क्षमता को सीमित करने पर केंद्रित हो सकते हैं।

उपयोगकर्ताओं के लिए मुख्य बातें

पिक्सनैपिंग एक बेहद गुप्त हमला है जो बिना किसी अतिरिक्त ऐप अनुमति के संचालित होता है, जो इसे विशेष रूप से घातक बनाता है। जब उपयोगकर्ता अविश्वसनीय स्रोतों से ऐप्स इंस्टॉल करते हैं तो जोखिम बढ़ जाता है, क्योंकि दुर्भावनापूर्ण एप्लिकेशन संवेदनशील जानकारी तक पहुँचने के लिए इस भेद्यता का फायदा उठा सकते हैं। हालाँकि Google ने इस समस्या के समाधान के लिए आंशिक पैच जारी किए हैं, लेकिन दिसंबर 2025 में पूरी तरह से समाधान की उम्मीद है। इस बीच, उपयोगकर्ताओं को सतर्क रहना चाहिए और किसी भी असामान्य गतिविधि के संकेतों के लिए अपने 2FA ऐप्स और अन्य संवेदनशील डेटा की बारीकी से निगरानी करनी चाहिए।