पिक्सन्यापिङ एन्ड्रोइड त्रुटि
साइबर सुरक्षा अनुसन्धानकर्ताहरूले गुगल र सामसुङबाट एन्ड्रोइड उपकरणहरूलाई असर गर्ने एउटा महत्वपूर्ण जोखिम पहिचान गरेका छन्, जसलाई पिक्सन्यापिङ भनिन्छ। यो साइड-च्यानल आक्रमणले दुर्भावनापूर्ण एपलाई प्रयोगकर्ताको जानकारी बिना स्क्रिन पिक्सेलहरू खिच्दै दुई-कारक प्रमाणीकरण (२FA) कोडहरू र गुगल नक्सा टाइमलाइनहरू सहित संवेदनशील डेटा गोप्य रूपमा चोरी गर्न अनुमति दिन्छ। यो आक्रमण पिक्सेल-बाय-पिक्सेल आधारमा सञ्चालन हुन्छ, जसले यसलाई अत्यधिक सटीक र गोप्य बनाउँछ।
सामग्रीको तालिका
पिक्सेन्यापिङले कसरी काम गर्छ: यसको मूलमा पिक्सेल-चोरी
यसको मूलमा, Pixnapping एक पिक्सेल-चोरी गर्ने फ्रेमवर्क हो जुन मानक ब्राउजर न्यूनीकरणलाई बाइपास गर्न र Google प्रमाणक जस्ता गैर-ब्राउजर एपहरूलाई लक्षित गर्न डिजाइन गरिएको हो। यसले संवेदनशील जानकारी द्रुत रूपमा खिच्न एन्ड्रोइड API र हार्डवेयर साइड-च्यानलको लाभ उठाउँछ, 2FA कोडहरू 30 सेकेन्ड भन्दा कममा निकाल्न सकिन्छ।
यो आक्रमणले एन्ड्रोइडको रेन्डरिङ पाइपलाइनलाई अनौठो तरिकाले शोषण गर्छ:
- एउटा दुर्भावनापूर्ण एपले एन्ड्रोइड इन्टेन्ट प्रयोग गरेर पीडित पिक्सेलहरूलाई रेन्डरिङ पाइपलाइनमा जबरजस्ती पठाउँछ।
- त्यसपछि ती पिक्सेलहरूमा गणना गर्न अर्ध-पारदर्शी एन्ड्रोइड गतिविधिहरूको स्ट्याक लागू गर्दछ।
यो पद्धतिले पहिले ब्राउजरहरूमा सीमित 'ढुङ्गा-शैली' आक्रमणहरूलाई प्रतिबिम्बित गर्दछ, अब नेटिभ एपहरूको लागि अनुकूलित।
जोखिममा रहेका उपकरणहरू र जोखिमको दायरा
अनुसन्धानले विशेष गरी एन्ड्रोइड संस्करण १३ देखि १६ सम्म चल्ने पाँचवटा गुगल र सामसुङ उपकरणहरूको परीक्षण गरेको थियो। अन्य निर्माताहरूको परीक्षण गरिएको छैन, तर आक्रमणको आधारभूत सिद्धान्तहरू सबै एन्ड्रोइड उपकरणहरूमा अवस्थित छन्, जसले प्लेटफर्मलाई व्यापक रूपमा संवेदनशील बनाउँछ।
उल्लेखनीय कुरा के छ भने, कुनै पनि एन्ड्रोइड एपले आफ्नो म्यानिफेस्टमा विशेष अनुमति बिना नै Pixnapping कार्यान्वयन गर्न सक्छ। यद्यपि, आक्रमणको लागि पीडितले प्रायः सामाजिक इन्जिनियरिङ वा छलकपट मार्फत दुर्भावनापूर्ण एप स्थापना र सुरुवात गर्न आवश्यक पर्दछ।
प्राविधिक मेकानिक्स: GPU साइड-च्यानलहरू र विन्डो ब्लर एक्सप्लोइट्स
Pixnapping ले पहिले खुलासा गरिएको GPU.zip साइड-च्यानल (सेप्टेम्बर २०२३) मा निर्माण गर्छ, जसले ब्राउजरहरूमा क्रस-ओरिजिन पिक्सेलहरू चोर्न एकीकृत GPU हरूमा कम्प्रेसन सुविधाहरूको लाभ उठायो। नयाँ आक्रमणले एन्ड्रोइडको विन्डो ब्लर API सँग संयोजन गरेर यो अवधारणालाई विस्तार गर्दछ, जसले पीडित एपहरूबाट पिक्सेलहरूको चोरीलाई सक्षम बनाउँछ।
प्रक्रिया निम्नानुसार काम गर्दछ:
- एउटा दुर्भावनापूर्ण एपले पीडित एप पिक्सेलहरूलाई रेन्डरिङ पाइपलाइनमा पठाउँछ।
- लक्षित पिक्सेलहरूलाई मास्क गर्न, विस्तार गर्न र प्रसारण गर्न एन्ड्रोइड इन्टेन्टहरू प्रयोग गरेर अर्ध-पारदर्शी गतिविधिहरू ओभरले गरिन्छ।
एन्ड्रोइड किन कमजोर छ: तीन सक्षम पार्ने कारकहरू
अनुसन्धानकर्ताहरूले पिक्सन्यापिङ सम्भव बनाउने तीन अवस्थाहरू पहिचान गरे:
- एन्ड्रोइड रेन्डरिङ पाइपलाइनमा अन्य एपहरूबाट गतिविधिहरू इन्जेक्ट गर्दै।
- यी पिक्सेलहरूमा ग्राफिकल अपरेशनहरू (जस्तै धमिलो) प्रेरित गर्दै।
- संवेदनशील जानकारी अनुमान गर्न पिक्सेल रङ-निर्भर साइड इफेक्टहरू मापन गर्दै।
गुगलको प्रतिक्रिया र सुरक्षा अपडेटहरू
गुगलले CVE-2025-48561 (CVSS 5.5) अन्तर्गत Pixnapping ट्र्याक गरेको छ। सेप्टेम्बर २०२५ को एन्ड्रोइड सुरक्षा बुलेटिनमा एउटा प्याच जारी गरिएको थियो, जसले आक्रमणलाई आंशिक रूपमा कम गर्यो। प्याचले पिक्सेल चोर्न अत्यधिक धमिलोपन प्रयोग गर्न सकिने परिदृश्यहरूलाई सम्बोधन गर्दछ।
समय समायोजन मार्फत पिक्सन्यापिङलाई पुन: सक्षम पार्ने नयाँ आक्रमण भेक्टर बन्द गर्न डिसेम्बर २०२५ मा दोस्रो प्याचको तालिका बनाइएको छ। गुगलले उल्लेख गर्यो कि शोषणलाई उपकरण-विशिष्ट डेटा चाहिन्छ र गुगल प्लेमा यो त्रुटिको शोषण गर्ने कुनै सक्रिय मालवेयर नभएको पुष्टि गर्यो।
थप जोखिमहरू: एप पत्ता लगाउने र गोपनीयताको प्रभाव
पिक्सन्यापिङले आक्रमणकारीलाई उपकरणमा स्थापित एपहरू पत्ता लगाउन पनि अनुमति दिन्छ, एन्ड्रोइड ११ बाट एप सूचीहरू लुकाउन डिजाइन गरिएको प्रतिबन्धहरू बाइपास गर्दै।
यो आक्रमणले मोबाइल एप लेयरिङमा निहित जोखिमहरूलाई हाइलाइट गर्दछ, एउटा प्रणाली जहाँ एपहरूले OS मा व्यापक रूपमा अन्तरक्रिया गर्छन्। लेयर्ड एप कार्यक्षमतालाई पूर्ण रूपमा प्रतिबन्धित गर्नु अव्यावहारिक छ; बरु, सुरक्षाले संवेदनशील एपहरूलाई अप्ट आउट गर्न दिने र आक्रमणकारीहरूको मापन गर्ने क्षमतालाई सीमित गर्ने कुरामा ध्यान केन्द्रित गर्न सक्छ।
प्रयोगकर्ताहरूको लागि मुख्य सुझावहरू
पिक्सन्यापिङ एक अत्यधिक गोप्य आक्रमण हो जुन उच्च एप अनुमतिहरू बिना नै सञ्चालन हुन्छ, जसले गर्दा यो विशेष गरी कपटी हुन्छ। प्रयोगकर्ताहरूले अविश्वसनीय स्रोतहरूबाट एपहरू स्थापना गर्दा जोखिम बढ्छ, किनकि दुर्भावनापूर्ण अनुप्रयोगहरूले संवेदनशील जानकारी पहुँच गर्ने जोखिमको शोषण गर्न सक्छन्। गुगलले यो समस्यालाई सम्बोधन गर्न आंशिक प्याचहरू जारी गरेको भए पनि, डिसेम्बर २०२५ मा पूर्ण न्यूनीकरण हुने अपेक्षा गरिएको छ। यसैबीच, प्रयोगकर्ताहरूले सतर्क रहनुपर्छ, असामान्य गतिविधिको कुनै पनि संकेतको लागि आफ्ना २एफए एपहरू र अन्य संवेदनशील डेटालाई नजिकबाट निगरानी गर्नुपर्छ।
