Régi trükk új köntösben: így működik a támadás
A Pixnapping névre keresztelt támadás olyan hardveres oldalcsatornákat használ, amelyek lehetővé teszik a kijelzőn megjelenő pixelek értékeinek kiszivárogtatását. Az ötlet egy több mint 10 éves böngészős támadáson alapul, amelyet akkor SVG-szűrőkkel és iframe technikával valósítottak meg, de azóta ezeket a réseket a böngészők befoltozták. Most azonban a Pixnapping Androidon, GPU-n keresztül támad: a grafikai feldolgozás és az időzítés apró különbségeinek megfigyelésével szerzi meg az információkat.
A támadás menete egyszerű, ugyanakkor hátborzongatóan hatékony: egy rosszindulatú alkalmazás megjeleníti a célba vett appot, majd megkeresi azokat a pixelpontokat, ahol például egy 2FA-kód látható. Ezt követően speciális grafikai műveleteket futtat, amelyek feldolgozási ideje attól függ, hogy a vizsgált pixel fehér-e vagy színes – így mérhetővé válik a 2FA-kód minden karakterének helyi színe, amelyből aztán rekonstruálható maga a kód.
A méréshez az Android window blur API-ját használják, amely lehetővé teszi a pixeleken végzett grafikai műveleteket, miközben a VSync visszahívásokat is igénybe veszik az idő mérésére. Annak ellenére, hogy az egész támadás meglepően kevés pixelt képes „elszívni” másodpercenként (0,6–2,1 pixelt), ez is elegendő lehet egy rövid azonosítási kód kiszivárogtatásához.
Hol működik és hogyan lehet védekezni?
A támadási keretrendszert sikerrel mutatták be öt különböző, Android 13, 14, 15 és 16 rendszeren futó eszközön: Google Pixel 6, 7, 8, 9, illetve Samsung Galaxy S25 modelleken. Ha egy támadó ilyen módszert alkalmaz, annak nincs szüksége semmilyen különleges engedélyre az alkalmazás leírásában. Kiemelendő, hogy a támadás főként a Pixel modelleken veszélyes, mivel a Mali GPU veszteségmentes tömörítést alkalmaz, ami adatfüggő tömörítési arányhoz vezet, és ez eltérő renderelési időket eredményez – ez teszi leolvashatóvá a képernyőn megjelenő információkat. Samsung készülékeknél azonban a kutatók még nem teljesen bizonyosak abban, hogy az időbeli eltérések ugyanígy a GPU tömörítése miatt jelentkeznek.
A hibák foltozása – de tényleg működik?
A CVE-2025-48561 számú sérülékenységre a Google szeptemberben adott ki frissítést, amely részben csökkenti a támadás hatását, és további javításokat ígér decemberre. Fontos megjegyezni, hogy eddig nem találtak arra utaló jelet, hogy a Pixnappingot már kihasználták volna a gyakorlatban, és a Google Play Áruház ellenőrzései sem buktattak le ilyen alkalmazást. Mindezek ellenére, noha a blur API hívások számát korlátozták, már most létezik működő megkerülő technika, amelynek részleteit egyelőre nem hozták nyilvánosságra.
A kutatócsoport szerint a legjobb védekezés az, ha megakadályozzuk, hogy a támadók számításokat végezzenek az áldozat pixelein, mivel folyamatosan jelennek meg újabb oldalcsatornák, és az Android valószínűleg soha nem mond le az Activity rétegzés funkciójáról. Emiatt a teljes körű biztonsági javítás még várat magára.
Újabb adatvédelmi rések is napvilágra kerültek
A kutatók arra is rájöttek, hogy megfelelő androidos üzenetek kombinálásával az összes telepített alkalmazás is megismerhető, holott ezt az Android 11 óta már tiltani kellett volna az adatvédelem érdekében. A Google azonban ezt a hibát kijavítani nem tartja lehetségesnek.
Az Android biztonsági szakértői szerint, amíg a Pixnapping oldalcsatorna (GPU.zip) sebezhetőségét külön nem foltozzák be, rengeteg készülék marad kiszolgáltatva a kijelzőn keresztüli adatlopásnak.
