Így lophatják el az SMS-kódodat, ha Androidot használsz

Az Android rendszerben napvilágra került egy új, veszélyes mellékcsatornás támadási módszer, a Pixnapping, amely lehetővé teszi, hogy egy engedély nélküli rosszindulatú alkalmazás képpontonként kilopjon más appokban vagy weboldalakon megjelenő érzékeny adatokat. Ez akár kétlépcsős hitelesítési (MFA) kódot, privát csevegéseket – például a Signalból –, Gmail-üzeneteket vagy Google Authenticator által generált jelszavakat is érinthet.

Így működik a Pixnapping

A támadás egy speciális alkalmazással indítható, amely kihasználja az Android intents rendszerét: ezzel a célzott applikáció vagy weboldal ablaka megnyílik, és az Android SurfaceFlinger komponense gondoskodik a megjelenítés összeállításáról. Ezután a kártékony app grafikai műveletekkel beazonosítja, hogy az adott képpontok fehérek-e vagy sem – például egy 2FA-kód számjegyeinél –, majd minden pixel elkülönítésére egy úgynevezett maszkoló tevékenységet indít, amely mindent eltakar, kivéve a támadó által kiválasztott átlátszó képpontot.

Lényeges, hogy a SurfaceFlinger elmosási “furcsaságát” kihasználva ezek az egyes pixelek kinagyíthatók, ami megkönnyíti a karakterek felismerését. A teljes képi tartalom visszafejtése után egy OCR-típusú elemzéssel az alkalmazás képes rekonstruálni a képernyőn látható adatokat.

Eszközök és következmények

A kutatók a támadást Google Pixel 6, 7, 8, 9 és Samsung Galaxy S25 mobilokon tesztelték Android 13-tól 16-ig; mindegyik sebezhető volt. Bár a Google igyekezett javítani, a védelmi intézkedések kijátszhatók maradtak, így csak a 2025. decemberi biztonsági frissítéstől várható hatékony megoldás. Érdekesség, hogy az appokon belül megnyitható tartalmakat az intents rendszerrel a Play Áruház körülbelül 100 000 népszerű alkalmazásánál elemezve több százezer támadási pontot azonosítottak.

Az adatszivárgás sebessége nem tűnik magasnak, 0,6–2,1 pixel/másodperc, de optimalizálással a 2FA-kódok kevesebb mint fél perc alatt megszerezhetők. Jelentős példaként a Signal beszélgetéseket, banki alkalmazások egyenlegeit vagy a Google Térkép (Google Maps) idővonal-adatait is képesek így lassan, de biztosan visszafejteni.

Frissítések és védelem

Az MI által vezérelt támadáshoz speciális, eszközre szabott ismeretek szükségesek – ez jelentősen csökkenti a tömeges visszaélés esélyét. Összefoglalva jelenleg nincs arra utaló jel, hogy a Pixnapping sebezhetőségét rosszindulatú alkalmazások kihasználnák a Play Áruházban, de a Google és a Samsung már dolgozik az év végére ígért javításon. GPU-gyártók részéről eddig nem jelentettek be további intézkedéseket.

2025, adminboss, www.bleepingcomputer.com alapján

Share on Social Media