Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Ново Android Pixnapping напад краде MFA кодови пиксел-по-пиксел

Објавено: 15.10.2025

Нов напад преку спореден канал наречен Pixnapping овозможува злонамерна Android апликација без никакви дозволи да извлече чувствителни податоци со крадење на пикселите кои ги прикажуваат апликациите или веб-страниците и нивно реконструирање за да се добие содржината.

Содржината може да вклучува чувствителни лични податоци како разговори од безбедни апликации за комуникација (на пр. Signal), е-пошта во Gmail или кодови за двофакторска автентикација (2FA) од Google Authenticator.

Нападот, развиен и демонстриран од тим од седум американски универзитетски истражувачи, функционира на модерни Android уреди со сите закрпи и може да украде 2FA кодови за помалку од 30 секунди.

Google се обиде да го реши проблемот (CVE-2025-48561) во септемврискиот безбедносен апдејт за Android. Сепак, истражувачите успеаја да ја заобиколат мерката за ублажување и ефикасно решение се очекува во декемврискиот безбедносен апдејт за Android 2025.

Како работи Pixnapping

Нападот започнува со тоа што злонамерна апликација злоупотребува Android-овиот систем за намери (intents) за да ја лансира целната апликација или веб-страница, така што нејзиниот прозорец ќе биде предаден на системскиот процес за компонирање (SurfaceFlinger), кој е одговорен за комбинирање на повеќе прозорци кога тие се видливи истовремено.

Во следниот чекор, злонамерната апликација ги мапира целните пиксели (на пример, пикселите што го формираат бројот на 2FA-кодот) и преку повеќе графички операции утврдува дали тие се бели или небели.

Изолирањето на секој пиксел е возможно преку отворање на она што истражувачите го нарекуваат „маскирачка активност“ (masking activity), која се наоѓа во прв план и ја крие целната апликација. Потоа напаѓачот го прави покривниот прозорец „целосно непрозирно бел, освен пикселот на локацијата избрана од напаѓачот кој е поставен да биде проѕирен.“

За време на Pixnapping нападот, изолираните пиксели се зголемуваат, користејќи ја „чудноста“ во начинот на кој SurfaceFlinger ја реализира функцијата за замаглување (blur), што создава ефект сличен на растегнување.

Замаглено 1×1 подрачје растегнато во поголема обојена површина

Откако ќе ги повратат сите пиксели на жртвата, се користи техника во стилот на OCR за да се разликува секој карактер или цифра.

„Концептуално, тоа е како да злонамерната апликација прави снимка на екранот со содржина до која не би требало да има пристап“, објаснуваат истражувачите.

За да ги украдат податоците, истражувачите ја користеле странен-канален (side-channel) техниката GPU.zip, која експлоатира компресија на графички податоци во современите GPU за да испушти (процури) визуелни информации.

Иако стапката на протекување на податоци е релативно ниска — од 0.6 до 2.1 пиксели во секунда — оптимизациите што ги демонстрираа истражувачите покажуваат дека 2FA-кодовите или други чувствителни податоци може да бидат извезени (експфилтрирани) за помалку од 30 секунди.

Влијание врз Android

Истражувачите го демонстрираа Pixnapping на уредите Google Pixel 6, 7, 8 и 9, како и на Samsung Galaxy S25, со Android верзии од 13 до 16, и сите беа ранливи на новиот напад преку спореден канал (side-channel).

Бидејќи основните механизми што го прават Pixnapping ефикасен постојат и во постарите Android верзии, најверојатно поголемиот дел од Android уредите и постарите оперативни системи се исто така ранливи.

Истражувачите анализирале речиси 100.000 апликации од Play Store и пронашле стотици илјади повици (invocable actions) преку Android intents, што покажува дека нападот има широка примена.

Техничкиот труд ги прикажува следниве примери на кражба на податоци:

  • Google Maps: Записите во Timeline зафаќаат околу 54.264–60.060 пиксели; неоптимизирано враќање на еден запис трае приближно 20–27 часа на различни уреди.
  • Venmo: Активности (профил, салдо, трансакции, изводи) можат да се отворат преку implicit intents; регионите со салдо се 7.473–11.352 пиксели и протекуваат за 3–5 часа ако не е оптимизирано.
  • Google Messages (SMS): Explicit или implicit intents можат да отворат разговори. Целните региони се 35.500–44.574 пиксели; неоптимизирано враќање трае 11–20 часа. Нападот разликува испратени од примени пораки преку проверка на сини наспроти несини или сиви наспроти несиви пиксели.
  • Signal (приватни пораки): Implicit intents можат да отворат разговори. Целните региони се 95.760–100.320 пиксели; неоптимизирано враќање трае 25–42 часа, и нападот функционира дури и со вклучена функција Screen Security на Signal.

И Google и Samsung се обврзаа дека ќе ги поправат пропустите пред крајот на годината, но ниту еден производител на GPU чипови сè уште нема објавено планови за закрпа против GPU.zip нападот преку спореден канал.

Извори:

  • Bleeping Computer – „New Android Pixnapping attack steals MFA codes pixel-by-pixel“ .Bleeping Computer