Hakeri sada mogu ukrasti dvostupanjske autentifikacijske kodove, vremenske crte lokacija i druge osjetljive podatke s Android uređaja za manje od pola minute zahvaljujući novoj metodi nazvanoj „Pixnapping“. Napad su osmislili akademski istraživači, a demonstriran je na telefonima Google Pixel te Samsung Galaxy S25, pri čemu se pretpostavlja da bi se uz dodatni rad mogao prilagoditi i drugim modelima.
Kako funkcionira
- Žrtva najprije instalira zlonamjernu aplikaciju koja ne traži nikakve dozvole sustava.
- Aplikacija uz pomoć Android API-ja natjera ciljanu aplikaciju (npr. Google Authenticator) da prikaže tražene informacije.
- Zatim mjeri vrijeme renderiranja pojedinih piksela i na temelju razlike između „bijelo“ i „ne-bijelo“ rekonstruira sadržaj – od chat poruka do šesteroznamenkastih 2FA kodova.
Istraživači objašnjavaju: „Anything that is visible when the target app is opened can be stolen by the malicious app using Pixnapping… Chat messages, 2FA codes, email messages, etc. are all vulnerable since they are visible.” Vodeći autor rada Alan Linghao Wang dodaje: „Conceptually, it is as if the malicious app was taking a screenshot of screen contents it should not have access to.”
Uspješnost i brzina
• Na sto testiranih kodova, cijeli 6-znamenkasti 2FA kod uspješno je pročitan u 73 % slučajeva na Pixelu 6, 53 % na Pixelu 7, 29 % na Pixelu 8 i 53 % na Pixelu 9.
• Prosječno vrijeme za „probijanje“ koda kretalo se između 14,3 i 25,8 sekundi, ovisno o modelu.
• Na Galaxyju S25 napad zasad nije uspio zbog „značajne razine šuma“.
Srodnost s ranijim slabostima
Pixnapping koristi isti vremenski bočni kanal kao prošlogodišnji napad GPU.zip, koji je web-stranicama omogućavao krađu lozinki i drugih vizualnih podataka. I dok su preglednici taj napad blokirali ograničavanjem iframeova, Pixnapping pokazuje da sličan pristup na razini operativnog sustava i dalje predstavlja prijetnju.
Reakcija Googlea
Google je u rujnu objavio zakrpu za propust označen CVE-2025-48561, „koja djelomično ublažava ovo ponašanje“, a dodatnu zakrpu najavljuje za prosinac. „We have not seen any evidence of in-the-wild exploitation“, poručio je glasnogovornik tvrtke.
Iako se Pixnapping trenutačno čini tehnički zahtjevnijim od klasičnih phishing trikova, istraživanje otkriva granice dosadašnjih sigurnosnih jamstava da aplikacije ne mogu čitati podatke drugih aplikacija. Korisnicima se preporučuje oprez pri instaliranju aplikacija iz neprovjerenih izvora, čak i kada one ne traže nikakve dozvole.