Исследователи безопасности смогли воспроизвести 12-летнюю атаку кражи данных через веб-браузеры, но для Android. Атака Pixnapping позволяет красть конфиденциальные данные приложений, в том числе коды двухфакторной аутентификации.
Pixnapping использует API Android и аппаратный сторонний канал, затрагивающий практически все современные устройства с этой ОС. По сути, это эквивалентно возможности вредоносного приложения Android делать снимки экрана других приложений или веб-сайтов. Атака позволяет вредоносному приложению Android получать доступ к информации, отображаемой в других приложениях Android или на веб-сайтах. Например, оно может красть данные, отображаемые в таких сервисах, как Google Maps, Signal и Venmo, а также на Gmail. Наконец, приложение может извлекать коды двухфакторной аутентификации из Google Authenticator.
«Сначала вредоносное приложение открывает целевое (например, Google Authenticator), отправляя свои пиксели для рендеринга», — пояснил Алан Ван, аспирант Калифорнийского университета в Беркли. Затем оно выбирает координаты целевого пикселя, цвет которого нужно украсть. Наконец, вредонос выполняет графические операции, время отрисовки которых больше, если цвет пикселя не белый. Приложение делает это, открывая окна перед целевым приложением. В ходе этого процесса оно измеряет время отрисовки каждого пикселя, чтобы определить его цвет и впоследствии восстановить картинку. Pixnapping использует сторонний канал GPU.zip для утечки пикселей.
Так, атака на Google Authenticator позволила украсть коды 2FA менее чем за 30 секунд, скрывая действия от пользователя.
Исследователи продемонстрировали работу Pixnapping на пяти устройствах под управлением Android версий с 13 по 16 (до идентификатора сборки BP3A.250905.014): Google Pixel 6, Google Pixel 7, Google Pixel 8, Google Pixel 9 и Samsung Galaxy S25. Авторы утверждают, что вредоносное Android-приложение, реализующее Pixnapping, не требует никаких специальных разрешений в файле манифеста.
Уязвимость, связанная с Pixnapping, отслеживается как CVE-2025-48561. Google пыталась исправить её, ограничив количество объектов, к которым вредоносное приложение может применять размытие. Однако исследователи нашли обходной путь для работы атаки. В октябре Google сообщила изданию The Register о выпуске дополнительного исправления для Pixnapping в декабрьском бюллетене безопасности Android.
Ранее в Google раскрыли новые подробности предстоящего введения в сертифицированных сборках Android обязательной регистрации разработчиков и приложений. За регистрацию разработчика в системе верификации будет взиматься плата в $25. Для персонального использования, студентов и энтузиастов Google предоставит бесплатный вариант учётной записи, позволяющий устанавливать свои приложения на ограниченном числе устройств и не требующий удостоверения личности.
Источник: habr.com