Дослідники розповіли про нову атаку Pixnapping. Достатньо встановити шкідливий застосунок, який не просить жодних прав, навіть доступу до запису екрана, камери чи мікрофона. Далі він за часом відмальовування пікселів «зчитує» все, що зараз видно на дисплеї: коди для двофакторної автентифікації, повідомлення в чатах, листи та геолокацію.
Дослідники розповіли про нову атаку Pixnapping. Достатньо встановити шкідливий застосунок, який не просить жодних прав, навіть доступу до запису екрана, камери чи мікрофона. Далі він за часом відмальовування пікселів «зчитує» все, що зараз видно на дисплеї: коди для двофакторної автентифікації, повідомлення в чатах, листи та геолокацію.
Як пише Ars Technica, Pixnapping працює за простою логікою: шкідливий застосунок змушує потрібну програму показати чутливі дані на екрані, накриває їх «прозорим» вікном і вимірює, скільки часу телефоном відмальовуються окремі точки зображення. За затримкою можна зрозуміти, який там колір, а далі скласти картинку й прочитати цифри або текст. Це схоже на повільний «скріншот», до якого іншим програмам не мали б давати доступ.
Команда перевірила атаку на смартфонах Google Pixel і Samsung Galaxy S25. На Pixel 6, 7, 8 і 9 їм вдавалося відновити 6-значні коди Google Authenticator у значній частині спроб, зазвичай за 14–26 секунд, тобто в межах 30-секундної дії одноразового пароля. На Galaxy S25 атака з першого разу не вклалася в час через «шум», але дослідники вважають, що доопрацювання дасть результат.
Google частково закрила вразливість у вересневому бюлетені безпеки та готує ще один патч у грудні. Компанія каже, що ознак реальних зломів поки немає, але автори роботи демонструють варіанти, які обходять перше виправлення. Важлива деталь: Pixnapping не краде «невидимі» секрети (наприклад, ключі в пам’яті). Вона зчитує лише те, що реально відображається на екрані в цей момент.
Що робити користувачу. Встановлюйте програми лише з офіційного магазину, не ставте «корисні утиліти» з невідомих сайтів, оновлюйте Android і системні компоненти, вмикайте блокування екрана та не відкривайте код з Authenticator поруч із підозрілими застосунками. Для важливих акаунтів варто додатково активувати резервні ключі безпеки.
Pixnapping споріднена з торішньою технікою GPU.zip, яка теж читала зображення через часові витоки під час обробки графіки. Тоді браузери обмежили проблемні сценарії, а виробники заліза патчів не випустили. Нинішня робота знову показує межі обіцянки «одна програма не бачить іншу»: якщо дані на екрані, витоки можливі. Практичний ризик поки невисокий, атаку нелегко реалізувати масово, але вона нагадує: найкращий захист — це уважність до джерел застосунків і своєчасні оновлення.
Раніше dev.ua писав про те, як Google впроваджує в Android 16 нову функцію безпеки, яка попереджатиме користувачів, якщо їхній смартфон використовує фейкову або незахищену мобільну мережу або якщо така мережа намагається отримати його ідентифікаційні дані.
