Скидка на мультилицензию
База данных угроз Уязвимость Ошибка Android Pixnapping

Ошибка Android Pixnapping

К Mezo году в Уязвимость году
Перевести на:

Исследователи кибербезопасности обнаружили критическую уязвимость, затрагивающую устройства Android от Google и Samsung, получившую название Pixnapping. Эта атака по сторонним каналам позволяет вредоносному приложению скрытно красть конфиденциальные данные, включая коды двухфакторной аутентификации (2FA) и временную шкалу Google Карт, захватывая пиксели экрана без ведома пользователя. Атака выполняется попиксельно, что делает её высокоточной и незаметной.

Как работает Pixnapping: в основе лежит кража пикселей

По сути, Pixnapping — это фреймворк для кражи пикселей, разработанный для обхода стандартных браузерных защитных механизмов и атаки на приложения, не входящие в состав браузера, такие как Google Authenticator. Он использует API Android и аппаратный сторонний канал для быстрого сбора конфиденциальной информации. Коды 2FA можно извлечь менее чем за 30 секунд.

Атака использует конвейер рендеринга Android уникальным способом:

  • Вредоносное приложение принудительно помещает пиксели жертвы в конвейер рендеринга, используя намерения Android.
  • Затем он применяет стек полупрозрачных действий Android для вычислений на этих пикселях.

Эта методология напоминает атаки в стиле «Stone», которые ранее были ограничены браузерами, а теперь адаптированы для собственных приложений.

Устройства, подверженные риску, и масштаб уязвимости

В ходе исследования были специально изучены пять устройств Google и Samsung под управлением Android версий 13–16. Хотя устройства других производителей не тестировались, основные принципы атаки присутствуют на всех устройствах Android, что делает платформу широко уязвимой.

Примечательно, что любое приложение Android может выполнить Pixnapping без специальных разрешений в манифесте. Однако для атаки требуется, чтобы жертва установила и запустила вредоносное приложение, часто с использованием социальной инженерии или обмана.

Техническая механика: побочные каналы графического процессора и эксплойты размытия окна

Пикснэппинг основан на ранее раскрытом сайд-канале GPU.zip (сентябрь 2023 г.), который использовал функции сжатия интегрированных графических процессоров для кражи пикселей из разных источников в браузерах. Новая атака расширяет эту концепцию, объединяя её с API размытия окон Android, что позволяет кражу пикселей из приложений-жертв.

Процесс работает следующим образом:

  • Вредоносное приложение отправляет пиксели приложения-жертвы в конвейер рендеринга.
  • Полупрозрачные действия накладываются с использованием намерений Android для маскировки, увеличения и передачи целевых пикселей.
  • Каждый пиксель, содержащий конфиденциальные данные, изолируется и извлекается последовательно.
  • Это позволяет злоумышленникам реконструировать коды 2FA или другой конфиденциальный контент пиксель за пикселем.

Почему Android уязвим: три фактора, способствующих этому

Исследователи выделили три условия, которые делают возможным Pixnapping:

  • Внедрение действий из других приложений в конвейер рендеринга Android.
  • Выполнение графических операций (например, размытия) над этими пикселями.
  • Измерение побочных эффектов, зависящих от цвета пикселей, для получения конфиденциальной информации.

Ответ Google и обновления безопасности

Google отследила Pixnapping под номером CVE-2025-48561 (CVSS 5.5). В бюллетене безопасности Android за сентябрь 2025 года был выпущен патч, частично смягчающий атаку. Патч устраняет ситуации, в которых чрезмерное размытие пикселей может использоваться для кражи пикселей.

Второй патч запланирован на декабрь 2025 года и закроет новый вектор атаки, который снова активирует Pixnapping посредством корректировки времени съёмки. Google отметила, что для эксплуатации уязвимости требуются данные, специфичные для устройства, и подтвердила отсутствие активного вредоносного ПО, эксплуатирующего эту уязвимость, в Google Play.

Дополнительные риски: обнаружение приложений и последствия для конфиденциальности

Pixnapping также позволяет злоумышленнику обнаружить установленные на устройстве приложения, обходя ограничения, введенные с момента выхода Android 11 и предназначенные для скрытия списков приложений.

Атака выявляет риски, присущие многоуровневому управлению мобильными приложениями — системе, в которой приложения активно взаимодействуют между собой в рамках ОС. Полное ограничение функциональности многоуровневых приложений нецелесообразно; вместо этого защита может сосредоточиться на том, чтобы позволить конфиденциальным приложениям отказаться от использования этих функций и ограничить возможности злоумышленников по выполнению измерений.

Ключевые выводы для пользователей

Пикснэппинг — это высокозаметная атака, которая работает без необходимости получения повышенных разрешений для приложения, что делает её особенно опасной. Риск возрастает, когда пользователи устанавливают приложения из ненадежных источников, поскольку вредоносные приложения могут использовать эту уязвимость для доступа к конфиденциальной информации. Хотя Google выпустила частичные исправления для решения этой проблемы, полное устранение ожидается в декабре 2025 года. Тем временем пользователям следует сохранять бдительность, внимательно следя за своими приложениями 2FA и другими конфиденциальными данными на предмет любых признаков необычной активности.

В тренде

Наиболее просматриваемые

Загрузка...