Cercetătorii au descoperit o tehnică numită Pixnapping care exploatează un canal lateral hardware și API-urile Android pentru a fura, pixel cu pixel, coduri 2FA și alte date sensibile.
Cum funcționează atacul Pixnapping?
Pixnapping este un cadru de atac pe Android care permite unei aplicații malițioase să extragă informații vizuale din alte aplicații fără a cere permisiuni speciale.
Tehnica combină funcționalități legitime ale platformei Android, de exemplu intent-urile care pot lansa componente ale altor aplicații sau activități semi-transparente, cu un canal lateral la nivelul procesării grafice.
Practic, atacatorul forțează redarea anumitor pixeli din aplicația țintă în pipeline-ul de randare al sistemului și apoi măsoară efectele secundare dependente de culoarea pixelilor (folosind operațiuni grafice precum blur-ul) pentru a reconstrui, rând pe rând, imaginea de la ecran.
În practică, metoda poate extrage coduri 2FA afișate pe ecranele aplicațiilor precum Google Authenticator sau date sensibile din alte aplicații (de exemplu, istoricul localizărilor din Google Maps) în mai puțin de 30 de secunde, conform studiului.
Atacul este realizabil cu o aplicație aparent inofensivă instalată de utilizator, aceasta nu trebuie să solicite permisiuni speciale în manifest, ceea ce îl face greu de detectat prin verificarea obișnuită a drepturilor, scrie The Hacker News.
Ce a remediat Google și ce rămâne în pericol?
Google a înregistrat problema ca CVE-2025-48561 și a publicat o remediere parțială în buletinul de securitate Android din septembrie 2025.
Conform declarațiilor oficiale, actualizarea reduce suprafața de atac prin limitarea unor funcționalități grafice abuzive (de exemplu, cererile repetate și masive de blur), dar cercetătorii au arătat că o variantă ajustată, bazată pe sincronizarea temporizărilor, poate ocoli acele măsuri.
Google a anunțat că pregătește un patch suplimentar pentru buletinul din decembrie 2025. Compania susține, de asemenea, că nu a găsit dovezi de exploatare în mediul real pe Google Play, iar exploatarea practică necesită detalii specifice despre dispozitivul țintă.
Un efect colateral al metodei Pixnapping este capacitatea de a determina dacă o anumită aplicație este instalată pe dispozitiv, ocolind restricțiile introduse din Android 11 care limitează interogarea listei de aplicații instalate.
Această problemă, identificată de cercetători, a fost clasificată de Google ca „nu se va remedia” (won’t fix), ridicând întrebări despre limitele soluțiilor tehnice acceptabile în modelul actual de interoperabilitate a aplicațiilor mobile.
Ce pot face utilizatorii și companiile acum?
Până la aplicarea completă a corecțiilor, recomandările practice rămân: instalați imediat actualizările de securitate oferite de producător (inclusiv cele publicate în buletinele lunare Android), descărcați aplicații doar din surse verificate, verificați recenziile și permisiunile, și limitați instalarea de aplicații nesigure.
Operatorii de servicii care folosesc 2FA ar trebui să examineze metode alternative de autentificare (de exemplu, soluții hardware FIDO2) și să îndrume utilizatorii către practici care reduc riscul de phishing și instalare de aplicații malițioase.
Concluzia cercetătorilor e clară: modelul actual de „layering” al aplicațiilor pe mobil, care încurajează cooperarea între aplicații și elemente vizuale suprapuse, oferă vectori de atac dificil de eliminat fără schimbări arhitecturale.
Până atunci, combinarea patch-urilor vendorilor cu vigilența utilizatorilor și a organizațiilor rămâne cea mai bună apărare.