- Автор темы
- #1
Новая side-channel атака Pixnapping позволяет вредоносному Android-приложению без каких-либо разрешений извлекать конфиденциальные данные, воруя пиксели, отображаемые другими приложениями или сайтами.
Атака позволяет воссоздавать самые разные данные, включая сообщения из защищенных мессенджеров, письма, коды двухфакторной аутентификации (2ФА) из приложений, подобных Google Authenticator, и так далее. Словом, все, что отображается на экране устройства.
Видеоплеер
00:00
01:40
Pixnapping разработали и продемонстрировали семь специалистов из американских университетов. Атака работает на полностью обновленных современных Android-устройствах и позволяет похищать коды 2ФА менее чем за 30 секунд.
Инженеры Google попытались исправить проблему (CVE-2025-48561) в рамках сентябрьских обновлений для Android, однако исследователям удалось обойти защиту, и более эффективное решение должно выйти в декабре 2025 года.
Атака начинается с того, что вредоносное приложение злоупотребляет системой намерений (intent) в Android, открывая целевое приложение или веб-страницу, чтобы его окно было передано в обработку системного композитора (SurfaceFlinger), который отвечает за объединение нескольких окон, когда те видимы одновременно.
На следующем этапе вредоносное приложение определяет целевые пиксели (например, формирующие цифру 2ФА-кода) и через множественные графические операции выясняет, белые они или нет.
Изолировать каждый отдельный пиксель можно, открыв то, что исследователи называют «маскирующей активностью», которая происходит на переднем плане и скрывает целевое приложение. Затем атакующий делает окно маскировки «полностью непрозрачным белым, за исключением пикселя в выбранной атакующим позиции, который становится прозрачным».
Во время атаки Pixnapping изолированные пиксели увеличиваются, используя реализацию размытия в SurfaceFlinger, которая создает эффект растягивания.
После воссоздания всех целевых пикселей используется техника, похожая на OCR (Optical character recognition, Оптическое распознавание символов), чтобы распознать каждый символ или цифру.
Для кражи данных специалисты использовали side-channel атаку GPU.zip, которая эксплуатирует сжатие графических данных в современных GPU для кражи визуальной информации. Хотя скорость утечки данных относительно низкая — от 0,6 до 2,1 пикселя в секунду, исследователи оптимизировали атаку, в результате чего коды 2ФА и другие конфиденциальные данные можно похитить менее чем за 30 секунд.
Эксперты протестировали Pixnapping на устройствах Google Pixel 6, 7, 8 и 9, а также Samsung Galaxy S25 с Android версий от 13 до 16. Все они оказались уязвимы перед новой side-channel атакой. Поскольку базовые механизмы, на которых строится атака, присутствуют и в более старых версиях Android, вероятно, большинство старых Android-устройств также уязвимы.
Кроме того, исследователи проанализировали почти 100 000 приложений из Google Play Store и обнаружили сотни тысяч вызываемых действий через Android-намерения, что указывает на широкую применимость атаки.
В техническом документе, опубликованном авторами Pixnapping, перечислены следующие примеры кражи данных:
Как уже упоминалось выше, хотя оригинальный метод эксплуатации был устранен в сентябре, с выходом исправления для CVE-2025-48561, исследователи обошли этот патч. Однако в Google объясняют, что для использования обновленной техники хищения данных требуется специфическая информация о целевом устройстве, что делает атаку гораздо более сложной.
Также в компании подчеркнули, что не было обнаружено никаких свидетельств эксплуатации Pixnapping в реальных атаках.
Атака позволяет воссоздавать самые разные данные, включая сообщения из защищенных мессенджеров, письма, коды двухфакторной аутентификации (2ФА) из приложений, подобных Google Authenticator, и так далее. Словом, все, что отображается на экране устройства.
Видеоплеер
00:00
01:40
Pixnapping разработали и продемонстрировали семь специалистов из американских университетов. Атака работает на полностью обновленных современных Android-устройствах и позволяет похищать коды 2ФА менее чем за 30 секунд.
Инженеры Google попытались исправить проблему (CVE-2025-48561) в рамках сентябрьских обновлений для Android, однако исследователям удалось обойти защиту, и более эффективное решение должно выйти в декабре 2025 года.
Атака начинается с того, что вредоносное приложение злоупотребляет системой намерений (intent) в Android, открывая целевое приложение или веб-страницу, чтобы его окно было передано в обработку системного композитора (SurfaceFlinger), который отвечает за объединение нескольких окон, когда те видимы одновременно.
На следующем этапе вредоносное приложение определяет целевые пиксели (например, формирующие цифру 2ФА-кода) и через множественные графические операции выясняет, белые они или нет.
Изолировать каждый отдельный пиксель можно, открыв то, что исследователи называют «маскирующей активностью», которая происходит на переднем плане и скрывает целевое приложение. Затем атакующий делает окно маскировки «полностью непрозрачным белым, за исключением пикселя в выбранной атакующим позиции, который становится прозрачным».
Во время атаки Pixnapping изолированные пиксели увеличиваются, используя реализацию размытия в SurfaceFlinger, которая создает эффект растягивания.
После воссоздания всех целевых пикселей используется техника, похожая на OCR (Optical character recognition, Оптическое распознавание символов), чтобы распознать каждый символ или цифру.
Для кражи данных специалисты использовали side-channel атаку GPU.zip, которая эксплуатирует сжатие графических данных в современных GPU для кражи визуальной информации. Хотя скорость утечки данных относительно низкая — от 0,6 до 2,1 пикселя в секунду, исследователи оптимизировали атаку, в результате чего коды 2ФА и другие конфиденциальные данные можно похитить менее чем за 30 секунд.
Эксперты протестировали Pixnapping на устройствах Google Pixel 6, 7, 8 и 9, а также Samsung Galaxy S25 с Android версий от 13 до 16. Все они оказались уязвимы перед новой side-channel атакой. Поскольку базовые механизмы, на которых строится атака, присутствуют и в более старых версиях Android, вероятно, большинство старых Android-устройств также уязвимы.
Кроме того, исследователи проанализировали почти 100 000 приложений из Google Play Store и обнаружили сотни тысяч вызываемых действий через Android-намерения, что указывает на широкую применимость атаки.
В техническом документе, опубликованном авторами Pixnapping, перечислены следующие примеры кражи данных:
- Google Maps: записи Timeline занимают около 54 264–60 060 пикселей, и без оптимизации на восстановление одной записи уходит 20–27 часов в зависимости от устройства;
- Venmo: активности (профиль, баланс, транзакции, выписки) можно открыть через неявные намерения, и область с балансом счета занимает около 7473–11 352 пикселей. Кража без оптимизации атаки занимает 3–5 часов;
- Google Messages (SMS): явные и неявные намерения позволяют открывать переписку. Целевые области занимают примерно 35 500–44 574 пикселей, и на их восстановление без оптимизации требуется 11–20 часов. Атака различает отправленные и полученные сообщения по цвету пикселей — синие против прочих или серые против прочих;
- Signal (приватные сообщения): неявные намерения также дают доступ к переписке. Целевые области занимают порядка 95 760–100 320 пикселей, и на их восстановление без оптимизации уходит 25–42 часа. Атака работает даже при включенной функции Screen Security в Signal.
Как уже упоминалось выше, хотя оригинальный метод эксплуатации был устранен в сентябре, с выходом исправления для CVE-2025-48561, исследователи обошли этот патч. Однако в Google объясняют, что для использования обновленной техники хищения данных требуется специфическая информация о целевом устройстве, что делает атаку гораздо более сложной.
Также в компании подчеркнули, что не было обнаружено никаких свидетельств эксплуатации Pixnapping в реальных атаках.