Знижка на кілька ліцензій
База даних загроз Вразливість Недолік Android у вигляді Pixnapping

Недолік Android у вигляді Pixnapping

До Mezo року в Вразливість році
Перекласти на:

Дослідники з кібербезпеки виявили критичну вразливість, яка впливає на пристрої Android від Google та Samsung, отримала назву Pixnapping. Ця атака побічного каналу дозволяє шкідливому додатку приховано красти конфіденційні дані, включаючи коди двофакторної автентифікації (2FA) та часові шкали Карт Google, шляхом захоплення пікселів екрана без відома користувача. Атака працює піксельно, що робить її дуже точною та прихованою.

Як працює пікселізація: крадіжка пікселів у своїй основі

По суті, Pixnapping — це фреймворк для крадіжки пікселів, розроблений для обходу стандартних засобів захисту браузера та націлений на небраузерні програми, такі як Google Authenticator. Він використовує API Android та апаратний бічний канал для швидкого збору конфіденційної інформації, а коди 2FA можна витягти менш ніж за 30 секунд.

Атака використовує конвеєр рендерингу Android унікальним чином:

  • Шкідливий додаток примусово вставляє пікселі жертви в конвеєр рендерингу, використовуючи наміри Android.
  • Потім він застосовує стек напівпрозорих дій Android для обчислення на цих пікселях.

Ця методологія відображає атаки в стилі «Stone», які раніше були обмежені браузерами, а тепер адаптовані для нативних додатків.

Пристрої, що знаходяться під загрозою, та обсяг вразливості

У дослідженні було розглянуто п'ять пристроїв Google та Samsung під керуванням Android версій з 13 по 16. Хоча інші виробники не були протестовані, основні принципи атаки існують на всіх пристроях Android, що робить платформу широко вразливою.

Примітно, що будь-який додаток для Android може виконувати Pixnapping без спеціальних дозволів у своєму маніфесті. Однак для атаки жертва повинна встановити та запустити шкідливий додаток, часто за допомогою соціальної інженерії або обману.

Технічна механіка: експлойти побічних каналів графічного процесора та розмиття вікон

Pixnapping базується на раніше розкритому боковому каналі GPU.zip (вересень 2023 року), який використовував функції стиснення в інтегрованих графічних процесорах для крадіжки пікселів з різних джерел у браузерах. Нова атака розширює цю концепцію, поєднуючи її з API розмиття вікон Android, що дозволяє красти пікселі з програм-жертв.

Процес працює наступним чином:

  • Шкідливий додаток надсилає пікселі програми-жертви в конвеєр рендерингу.
  • Напівпрозорі дії накладаються за допомогою намірів Android для маскування, збільшення та передачі цільових пікселів.
  • Кожен піксель, що містить конфіденційні дані, ізольований та послідовно витягується.
  • Це дозволяє зловмисникам реконструювати коди 2FA або інший конфіденційний контент піксель за пікселем.

    • Чому Android вразливий: три сприятливі фактори

    Дослідники визначили три умови, які роблять Pixnapping можливим:

    • Впровадження дій з інших програм у конвеєр рендерингу Android.
    • Виконання графічних операцій (таких як розмиття) над цими пікселями.
    • Вимірювання побічних ефектів, залежних від кольору пікселів, для отримання конфіденційної інформації.

    Відповідь Google та оновлення безпеки

    Google відстежував Pixnapping за ознакою CVE-2025-48561 (CVSS 5.5). У вересневому бюлетені безпеки Android 2025 року було випущено патч, який частково пом'якшує атаку. Патч вирішує сценарії, коли надмірне розмиття може бути використане для крадіжки пікселів.

    Вихід другого патчу заплановано на грудень 2025 року, щоб закрити новий вектор атаки, який повторно вмикає Pixnapping за допомогою коригування часу. Google зазначив, що для експлойту потрібні дані, специфічні для пристрою, і підтвердив відсутність активного шкідливого програмного забезпечення, яке використовує цю вразливість у Google Play.

    Додаткові ризики: виявлення програм та наслідки для конфіденційності

    Pixnapping також дозволяє зловмиснику виявляти встановлені на пристрої програми, обходячи обмеження, запроваджені з часів Android 11, призначені для приховування списків програм.

    Ця атака підкреслює ризики, властиві багатошаровості мобільних додатків – системі, де додатки активно взаємодіють між собою в різних частинах ОС. Повне обмеження функціональності багатошарових додатків є недоцільним; натомість, захист може зосередитися на тому, щоб дозволити конфіденційним додаткам відмовитися від їх використання та обмежити можливості зловмисників виконувати вимірювання.

    Ключові висновки для користувачів

    Pixnapping – це дуже прихована атака, яка працює без потреби підвищених дозволів для програм, що робить її особливо підступною. Ризик зростає, коли користувачі встановлюють програми з ненадійних джерел, оскільки шкідливі програми можуть використовувати цю вразливість для доступу до конфіденційної інформації. Хоча Google випустив часткові виправлення для вирішення проблеми, повне пом’якшення очікується у грудні 2025 року. Тим часом користувачам слід залишатися пильними, уважно стежачи за своїми програмами 2FA та іншими конфіденційними даними на предмет будь-яких ознак незвичайної активності.

    В тренді

    Найбільше переглянуті

    Шкідливе програмне забезпечення

    Фішинг, Спам
    33,737
    Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...

    Fuq.com

    Програма захисту від шпигунського ПЗ, Шкідливе програмне забезпечення Mac
    23,195
    Fuq.com — це програма рекламного типу, яка рекламує веб-сайти з порнографічним вмістом. Рекламні кампанії цієї потенційно небажаної програми (PUP) є дуже агресивними. Вони змушують своїх жертв...
    Завантаження...