Открита е уязвимост в Android за кражба на кодове за двуфакторно удостоверяване и лични съобщения
Група учени разпознава накърнимост в операционната система Android, наречена Pixnapping. Атаката разрешава от инфектираните устройства да се извличат кодовете за двуфакторно засвидетелствуване, персоналната преписка и данните за геолокация.
Атаката изисква инсталирането на злонамерено приложение на устройството на жертвата. Особеното на метода е, че приложението не се нуждае от систематични позволения за достъп до данните от другите стратегии. Атаката е демонстрирана на смарт телефони Гугъл Pixel и Samsung Galaxy S25.
Механизмът на деяние на Pixnapping се основава на потреблението на непряк канал на GPU.ZIP, който проучва времето за визуализация на графичните фрагменти. Злонамереното приложение, посредством софтуерните интерфейси на Android, извиква целевото приложение, с цел да покаже сензитивната информация на екрана. След това се правят графични интервенции върху обособени пиксели, а измерванията на времето за тяхната обработка разрешават да се дефинира цветът на всеки пиксел и да се реконструира показаното изображение.
Водещият създател на проучването, Алън Лингхао Уанг, изяснява, че офанзивата се реализира на три стадия. В първия злонамереното приложение извиква целевата стратегия посредством Android API. Във втория се правят графични интервенции върху пикселите, с цел да се дефинира техният цвят. При третия се мери времето за обработка на всяка координата, с цел да се възвърне цялостното изображение.
При тестване на телефони Гугъл Pixel от разнообразни модели офанзивата вярно възвръща шестцифрените кодове за двуфакторна автентикация с успеваемост, варираща от 29% до 73%, според от модела на устройството. Средното време за кражба на един код е сред 14 и 26 секунди, което се вмества в 30-секундния интервал на годност на кода. На устройството Samsung Galaxy S25 кодовете не можаха да бъдат извлечени заради високите равнища на разстройства.
Гугъл пусна частична корекция за уязвимостта CVE-2025-48561 в септемврийската актуализация на сигурността на Android. Пълната промяна е планувана за декемврийския бюлетин по сигурността. Представители на компанията обявиха, че не са регистрирани случаи на потребление на уязвимостта в действителни условия.
