Így lophatják el az SMS-kódodat, ha Androidot használsz
Az Android rendszerben napvilágra került egy új, veszélyes mellékcsatornás támadási módszer, a Pixnapping, amely lehetővé teszi, hogy egy engedély nélküli rosszindulatú alkalmazás képpontonként kilopjon más appokban vagy weboldalakon megjelenő érzékeny adatokat. Ez akár kétlépcsős hitelesítési (MFA) kódot, privát csevegéseket – például a Signalból –, Gmail-üzeneteket vagy Google Authenticator által generált jelszavakat is érinthet.
Így működik a Pixnapping
A támadás egy speciális alkalmazással indítható, amely kihasználja az Android intents rendszerét: ezzel a célzott applikáció vagy weboldal ablaka megnyílik, és az Android SurfaceFlinger komponense gondoskodik a megjelenítés összeállításáról. Ezután a kártékony app grafikai műveletekkel beazonosítja, hogy az adott képpontok fehérek-e vagy sem – például egy 2FA-kód számjegyeinél –, majd minden pixel elkülönítésére egy úgynevezett maszkoló tevékenységet indít, amely mindent eltakar, kivéve a támadó által kiválasztott átlátszó képpontot.
Lényeges, hogy a SurfaceFlinger elmosási “furcsaságát” kihasználva ezek az egyes pixelek kinagyíthatók, ami megkönnyíti a karakterek felismerését. A teljes képi tartalom visszafejtése után egy OCR-típusú elemzéssel az alkalmazás képes rekonstruálni a képernyőn látható adatokat.
Eszközök és következmények
A kutatók a támadást Google Pixel 6, 7, 8, 9 és Samsung Galaxy S25 mobilokon tesztelték Android 13-tól 16-ig; mindegyik sebezhető volt. Bár a Google igyekezett javítani, a védelmi intézkedések kijátszhatók maradtak, így csak a 2025. decemberi biztonsági frissítéstől várható hatékony megoldás. Érdekesség, hogy az appokon belül megnyitható tartalmakat az intents rendszerrel a Play Áruház körülbelül 100 000 népszerű alkalmazásánál elemezve több százezer támadási pontot azonosítottak.
Az adatszivárgás sebessége nem tűnik magasnak, 0,6–2,1 pixel/másodperc, de optimalizálással a 2FA-kódok kevesebb mint fél perc alatt megszerezhetők. Jelentős példaként a Signal beszélgetéseket, banki alkalmazások egyenlegeit vagy a Google Térkép (Google Maps) idővonal-adatait is képesek így lassan, de biztosan visszafejteni.
Az MI által vezérelt támadáshoz speciális, eszközre szabott ismeretek szükségesek – ez jelentősen csökkenti a tömeges visszaélés esélyét. Összefoglalva jelenleg nincs arra utaló jel, hogy a Pixnapping sebezhetőségét rosszindulatú alkalmazások kihasználnák a Play Áruházban, de a Google és a Samsung már dolgozik az év végére ígért javításon. GPU-gyártók részéről eddig nem jelentettek be további intézkedéseket.
💫 Egy lényeges szempont, hogy a fizikában eddig elképzelhetetlennek számított, hogy bármi is gyorsabb lehet a fénynél – most azonban a tudósok mégis észleltek valamit, ami látszólag átlépi ezt a kozmikus sebességhatárt...
Hihetetlen, de igaz: a texasi hatóságok épp akkor csaptak le egy 20 éves férfi otthonára, amikor azzal is vádolták, hogy Molotov-koktélos támadást intézett Sam Altman, az OpenAI vezérigazgatója San Franciscó-i otthona ellen...
💀 A San Francisco-öböl a szürke bálnák számára halálos útvonallá vált: az éhes állatok egyre gyakrabban keresik fel a forgalmas vizeket, sokan közülük azonban nem élik túl a kalandot...
💯 Michael Cotter egyetlen problémával szembesült: a technikai ügyfélszolgálati cégénél, a Tech Live Connectnél túl magasak lettek a visszaterhelések...
Áprilisban a Hold nemcsak a megszokott ragyogásával hívja fel magára a figyelmet: ebben az időszakban gyakrabban figyelhető meg a ritka és misztikus földfény (earthshine) is...
😭 Jellemző példa erre, hogy az egykor a programozók kedvencévé vált, az Anthropichoz köthető Claude mostanra egyre több kritikát kap mind a költségek, mind a minőség terén...
🐶 Míg a kriptopiac kicsit bizonytalanul egyensúlyoz, a Dogecoin kifejezetten erősen muzsikál: szépen kapaszkodik felfelé, és egészen meggyőző, hogy most végre nem fullad ki az emelkedés, hanem tartja a szintet...
Ezen a napon koronázások, háborúk és sorsfordító döntések formálták a világot: a lengyel államiság keresztény alapokra állt, a Khalsa létrejött, a spanyol monarchiát köztársaság váltotta, miközben a Titanic jéghegynek ütközött...
Kezdetben mindennapjainkat és gazdasági döntéseinket digitális platformok uralták. Az online tevékenységek bővülésével egyre inkább ezekre a szolgáltatókra támaszkodtunk, legyen szó arról, hogy keresünk a Google-ben, üzenetet váltunk WhatsAppon, videókat nézünk a YouTube-on, kapcsolatot tartunk az Instagramon, vagy vásárolunk az Amazonon...
Képzeld el, hogy egy fontos céges kérdéssel fordulsz a vezérhez, várva a személyes, motiváló választ – aztán kiderül, hogy „Mark Zuckerberg” valójában csak egy mesterien kiképzett MI-klón, amely a vezér minden gesztusát, hangszínét, múltbeli nyilatkozatát, sőt a céges stratégiához fűzött gondolatait is tökéletesen utánozza...
🚀 Ezen a héten több tudományos szenzáció is született: az Artemis II űrmisszió hazatérése, a kihalás széléről visszatérő különleges új-zélandi madár, valamint a Torinói lepel erősen vitatott eredetű DNS-mintái mind hozzájárultak az izgalmakhoz...
Egy tízméteres hím púpos bálna hónapok óta vergődik a németországi Balti-tengeren, miközben egy egész ország látja tehetetlenül az állat lassú haldoklását...
🤓 Az egyetemi oktatás sosem volt könnyű pálya, hiszen a bér alacsony, a munka bizonytalan, mégis rengetegen választják, mert a tanítás öröme semmihez sem fogható...
🔒 A stablecoinok világában egyre nagyobb botrányt kelt, hogy hackerek százmilliókat lopnak el digitális valutákból, miközben a kibocsátók tétlenül nézik...
⚡ Az Adobe kritikus biztonsági frissítést adott ki az Acrobat és az Acrobat Reader szoftvereihez, hogy orvosolja a CVE-2026-34621 nevű sebezhetőséget, amelyet már hónapok óta zéró-napos támadásokban kihasználják...
Az Android Auto fejlesztései új lendületet kaptak: hamarosan lehetőség nyílik a klímaberendezés vezérlésére közvetlenül az autó kijelzőjéről, anélkül, hogy ki kellene lépni az Android Auto felületéről...
