Egy új, Pixnapping névre keresztelt támadástípus miatt az Androidon futó, látszólag ártalmatlan alkalmazás is képes lehet kétlépcsős azonosító kódok, privát üzenetek, e-mailek vagy akár helyelőzmények megszerzésére – mindezt külön engedélykérés nélkül. A módszert akadémiai kutatók írták le és Google Pixel készülékeken, valamint Samsung Galaxy S25-ön demonstrálták. Bár a Google már kiadott részleges javítást, a kutatók szerint a támadás módosított változata még így is működhet.
A Pixnapping lényege, hogy a támadó alkalmazás nem fér hozzá közvetlenül más appok adataihoz, mégis ki tudja következtetni, mi látható a képernyőn. Úgy viselkedik, mintha képernyőképet készítene, holott erre nincs jogosultsága. A trükk abban áll, hogy a támadó mérni tudja a képkockák kirajzolásának idejét, és ebből – pixelről pixelre – visszafejti, hogy az adott koordinátán milyen szín lehet. Mivel minden, ami a célzott alkalmazás megnyitásakor látható, „kiszivárogtatható”, a látható 2FA kódok, chatüzenetek vagy e-mailek veszélybe kerülhetnek. Amit az app nem jelenít meg (például titkos kulcs a háttértáron), azt a módszer nem éri el.
A támadás a 2023-as GPU.zip ötletéhez hasonlít: grafikus oldalsáv-csatornát használ. A támadó app Android API-kat hív meg, hogy a célalkalmazás tartalmat rajzoljon a képernyőre (például megnyit egy üzenetfolyamot vagy egy hitelesítő appban új 2FA kódot kér). Ezután a támadó app „rárajzol” egy láthatatlan ablakot, és olyan grafikai műveleteket végez, amelyek érzékenyek arra, hogy a háttérben lévő pixel fehér vagy nem fehér (általánosabban: az adott színű-e vagy sem). A képkockák kirajzolási idejének mérése elárulja a háttér pixeleinek színkategóriáját, és így mozaikszerűen visszaáll a teljes tartalom.
A kutatók a Google Authenticatorből száz különböző, hatjegyű kódot próbáltak kinyerni Pixel készülékeken. A teljes kód helyes visszaállítása Pixel 6-on az esetek 73 százalékában, Pixel 7-en 53 százalékban, Pixel 8-on 29 százalékban, Pixel 9-en 53 százalékban sikerült. Az átlagos visszafejtési idő 14–26 másodperc volt, vagyis belefért a tipikus, 30 másodperces érvényességi ablakba. A Galaxy S25-ön a zaj miatt ugyanez a megközelítés nem ért célt ezen a kódon belül, de a szerzők szerint finomhangolással ez is javítható.
Ez is érdekelhet: Újabb hackertámadás: most egy japán bányászcéget fosztottak ki
A Google szeptemberben részleges mérséklést adott ki az érintett viselkedésre, és decemberre újabb javítást ígér. A vállalat közölte, hogy nem lát bizonyítékot aktív, valós körülmények között történő kihasználásra. A kutatók ugyanakkor bemutatták: a támadás módosított variánsa a jelenlegi patchek mellett is működhet, mert az alapvető oldalcsatornát – a renderelési időzítést – nem szünteti meg teljesen. Ez rávilágít az „egy app nem láthatja a másik adatait” ígéret korlátaira, ha a grafikus alrendszer időzítését lehet visszamérni.
A Pixnapping nem egy „egy kattintásos” képernyőolvasás: a támadónak meg kell győznie az áldozatot, hogy telepítsen egy rosszindulatú alkalmazást; időzíteni kell a célapp megnyitását; és pixelről pixelre, időméréssel kell „kirajzolni” a tartalmat. Komoly zaj, készülék- és verziófüggő különbségek lassíthatják a támadást. Ugyanakkor a koncepció veszélyes, mert engedélyek nélkül, a grafikus alrendszer mellékhatásait kihasználva kerül meg egy alapvető platform-garanciát.
Megjelent a BitcoinBázis oldalon.
