Una nuova tecnica di attacco denominata Pixnapping ha puntato i riflettori sulla sicurezza di Android: consente alle app dannose di dedurre ciò che viene visualizzato sullo schermo e di catturare i codici di sicurezza. autenticazione in due passaggi (2FA), messaggi e altri dati sensibili in pochi secondi.
La cosa più preoccupante è che funziona senza chiedere autorizzazioni speciali, si basa su API di sistema legittime e sfrutta un canale laterale grafico per ricostruire, pixel per pixel, le informazioni visibili sul dispositivo, anche da app non browser.
Cos'è il Pixnapping e perché è importante
Il pixnapping è un attacco di “furto di pixel” in grado di dedurre il contenuto di aree specifiche dello schermo e quindi estrarre dati sensibili come codici 2FA, frammenti di Google Maps, messaggi o e-mail.
Gli autori sottolineano che la tecnica schiva le mitigazioni attacchi comuni ai browser e raggiunge le applicazioni native, ampliando notevolmente la superficie di attacco rispetto ai metodi di cattura tradizionali.
Come funziona passo dopo passo
L'attacco combina le API Android con un canale laterale GPU per misurare gli effetti sottili di rendering e compressione, quindi ricostruendo le informazioni di destinazione.
- L'app dannosa induce la visualizzazione dell'app della vittima (ad esempio, il generatore di codice 2FA) e selezionare le aree critiche sullo schermo.
- Attività sovrapposte semitrasparente e manipola la pipeline grafica per isolare pixel specifici e misurare i tempi di elaborazione.
- Con queste misurazioni, si deduce il colore di ogni pixel e ricostruire il testo finale con tecniche OCR.
In termini pratici, il software dell'attaccante "spazza" l'area in cui sono dipinte le cifre e, dall'alto, latenza di rendering, deduce se c'è del contenuto e di cosa si tratta, senza bisogno di screenshot convenzionali.
Dispositivi e versioni interessati
I ricercatori hanno verificato l'attacco in Google Pixel 6, 7, 8 e 9Inoltre Samsung Galaxy S25, con sistema operativo Android 13, 14, 15 e 16, rispettivamente.
Il team, con la partecipazione dell'Università della California a Berkeley, dell'Università di Washington, dell'Università della California a San Diego e della Carnegie Mellon, osserva che meccanismi sfruttati Sono molto diffusi nell'ecosistema Android, quindi altri marchi potrebbero essere soggetti ad adattamenti.
Efficacia misurata nei test
Pixnapping è riuscito a recuperare codici 2FA a sei cifre su diversi modelli con percentuali di successo di 73% (Pixel 6), 53% (Pixel 7), 29% (Pixel 8) e 53% (Pixel 9).
Il tempo medio per estrarre un codice completo è stato 14,3 s su Pixel 6; 25,8 s su Pixel 7; 24,9 s su Pixel 8; e 25,3 s su Pixel 9, entro la tipica finestra di validità di 30 secondi da molti 2FA.
I segreti che non vengono visualizzati sullo schermo (ad esempio, le chiavi memorizzate internamente) sono fuori portata, ma le informazioni che rimangono visibili più di qualche secondo —come le frasi seed o le cronologie delle posizioni—sono particolarmente vulnerabili.
Impatto e potenziali obiettivi
Tra le app e i servizi più esposti ci sono: autenticatori (come Google Authenticator), servizi bancari e finanziari, messaggistica privata, posta elettronica e dati sulla posizione.
La tecnica è particolarmente pericolosa perché può essere incapsulata in un'app apparentemente dannosa. innocuo, che non rivela autorizzazioni sospette e agisce silenziosamente su ciò che la vittima vede sullo schermo.
Risposta di Google e stato della patch
Google ha assegnato l'identificatore CVE-2025-48561 (CVSS 5,5) e pubblicato un mitigación parcial nel bollettino sulla sicurezza di settembre, con un'ulteriore correzione prevista per dicembre.
Secondo i ricercatori, la soluzione iniziale, che limitava, tra le altre cose, il numero di attività che un'app poteva offuscare, era eluso da una variante dell'attacco, quindi continuano a coordinarsi con Google e Samsung per implementare difese più robuste; finora, non ci sono segnali di sfruttamento. su larga scala.
Raccomandazioni per utenti e sviluppatori
Per gli utenti: tenere il telefono actualizado, evitare di installare app da fonti non attendibili e ridurre al minimo il tempo in cui le informazioni sensibili restano visibili sullo schermo.
- Quando possibile, optare per FIDO2/WebAuthn (chiavi di sicurezza, autenticazione basata su hardware) anziché codici 2FA basati su app.
- Non esporre o fotografare frasi di recupero o credenziali sui dispositivi connessi.
- Esaminare le autorizzazioni e il comportamento delle app che visualizzano sovrapposizioni persistenti.
Per startup e team di prodotto: flussi di autenticazione di audit, ridurre al minimo l'esposizione nell'interfaccia utente di dati sensibili e valutare metodi di verifica alternativi che non si basino sulla visualizzazione di segreti effimeri sullo schermo.
Cosa resta da risolvere
Gli esperti prevedono che un accordo globale potrebbe richiedere profondi cambiamenti nella pipeline grafica e come Android consente di disegnare e sovrapporre contenuti tra le app.
Finché non arriveranno patch di piattaforma più robuste, è meglio presumere che tutto ciò che viene visualizzato sullo schermo per diversi secondi possa essere inflitto da un aggressore con i mezzi giusti.
Il pixnapping svela un vettore di rischio che colpisce il cuore dell'esperienza Android: ciò che viene visualizzato sullo schermo. Con percentuali di successo e tempistiche rilevanti all'interno della finestra di utilizzo dei codici 2FA, la combinazione di mitigazioni del sistema, le buone pratiche (riduzione dell'esposizione dello schermo) e l'autenticazione resistente al phishing (FIDO2/WebAuthn) stanno emergendo come la strada più sensata mentre Google perfeziona le sue patch.
