«Pixnapping» — технология кражи 2FA-кодов и других данных с Android-экрана

Исследователи описали новую схему атак под названием Pixnapping, которое позволяет вредоносному приложению без запросов системных разрешений восстанавливать то, что другие программы показывают на экране — от сообщений до одноразовых кодов двухфакторной аутентификации. Авторы демонстрируют, что на ряде устройств атака срабатывает за секунды, а Google уже выпустил частичные исправления, но угроза подчёркивает, что привычная гарантия «одно приложение не видит данные другого» не всегда срабатывает на практике.

Фото: zoom.cnews.ru

Учёные показали способ «похищения пикселя» — Pixnapping. Суть проста по идее и хитра по реализации: вредоносное приложение вызывает у целевой программы отображение нужной информации (например, экран с 2FA-кодом), затем «рисует» поверх прозрачные объекты и измеряет тонкие задержки в отрисовке кадров. По этим временам оно определяет, какой цвет в каждой координате — и по набору пикселей восстанавливает видимое содержимое экрана, буква за буквой, цифра за цифрой.

Атака проходит в три этапа: сначала злоумышленник заставляет нужное приложение показать данные; затем запускает графические операции по заданным координатам; наконец — замеряет время рендеринга и собирает результаты в изображение. Авторы сравнивают это с виртуальным скриншотом, сделанным способом, который система не предполагает.

В экспериментах Pixnapping с помощью ранее известной уязвимости GPU.zip удавалось воспроизвести шестизначные 2FA-коды на телефонах Pixel: успешность полного восстановления кода составляла около 73% на Pixel 6, 53% на Pixel 7, 29% на Pixel 8 и 53% на Pixel 9; среднее время атаки лежало в диапазоне примерно 14–26 секунд в зависимости от модели. На Samsung Galaxy S25 реализация пока наталкивается на сильный шум и в 30-секундный срок коды не удалось снять. Исследователи отмечают, что точность и скорость зависят от числа измеряемых координат, шума в системе и от того, какой канал утечки используется.

Google в ответ указал на CVE-2025-48561 и сообщил, что в сентябрьском бюллетене Android выпущено частичное исправление, а в декабре ожидается дополнительный патч; при этом компания не зафиксировала случаев эксплуатации уязвимости. Тем не менее сам факт успешной демонстрации показывает ограничения текущих гарантий безопасности интерфейса и указывает на необходимость дополнительных защитных мер в стеке отрисовки и драйверах GPU.

Что это значит для пользователя

Риск для обычного пользователя остаётся умеренным: атака требует установки злонамеренного приложения и тонкой настройки под конкретную модель устройства. Но в теории Pixnapping позволяет украсть любые данные, которые приложение выводит на экран — чат-сообщения, коды 2FA, геолокационные таймлайны и т.д.

Пользователям стоит быть внимательнее к источникам приложений, не устанавливать сомнительные APK и держать систему и обновления безопасности включёнными. Разработчикам приложений, особенно тем, что показывают чувствительную информацию, рекомендуется пересмотреть способы отображения и минимизировать время видимости секретных данных на экране.

Читайте нас в Telegram

2FA,

android,

google,

gpu.zip,

pixnapping,

безопасность,

мобильная безопасность,

уязвимости