Dispozitivele Android sunt expuse unei noi metode de atac ce permite furtul discret al codurilor de autentificare în doi factori (2FA), al cronologiilor locațiilor și altor date private, în mai puțin de 30 de secunde.
Denumit “Pixnapping” de către echipa de cercetători academici care l-a descoperit, atacul necesită ca victima să instaleze mai întâi o aplicație rău intenționată pe un telefon sau tabletă Android. Această aplicație, care nu solicită permisiuni de sistem, poate citi efectiv datele afișate pe ecran de orice altă aplicație instalată. Pixnapping a fost demonstrat pe telefoane Google Pixel și pe Samsung Galaxy S25 și probabil ar putea fi adaptat pentru a funcționa și pe alte modele, cu un efort suplimentar. Deși Google a lansat măsuri de atenuare luna trecută, cercetătorii afirmă că o versiune modificată a atacului funcționează chiar și după instalarea actualizării.
Atacurile Pixnapping încep cu aplicația rău intenționată care invocă interfețele de programare Android, determinând aplicațiile autentificatoare sau alte aplicații vizate să trimită informații sensibile pe ecranul dispozitivului. Apoi, aplicația rău intenționată execută operațiuni grafice pe pixelii de interes pentru atacator. Pixnapping exploatează apoi un canal lateral care permite aplicației rău intenționată să coreleze pixelii de la acele coordonate cu litere, numere sau forme.
“Orice este vizibil când aplicația țintă este deschisă poate fi furat de aplicația rău intenționată folosind Pixnapping”, au scris cercetătorii pe un site web informativ. “Mesajele din chat, codurile 2FA, mesajele de email etc., sunt toate vulnerabile deoarece sunt vizibile. Dacă o aplicație deține informații secrete care nu sunt vizibile (de exemplu, are o cheie secretă care este stocată dar niciodată afișată pe ecran), aceste informații nu pot fi furate de Pixnapping.”
Această nouă clasă de atac reamintește de GPU.zip, un atac din 2023 care permitea site-urilor rău intenționate să citească numele de utilizator, parolele și alte date vizuale sensibile afișate de alte site-uri. Acesta funcționa exploatarea canalelor laterale găsite în GPU-urile de la toți furnizorii principali. Vulnerabilitățile exploatate de GPU.zip nu au fost niciodată remediate. În schimb, atacul a fost blocat în browsere prin limitarea capacității acestora de a deschide iframe-uri, un element HTML care permite unui site (în cazul GPU.zip, unul rău intenționat) să încorporeze conținutul unui site de pe un domeniu diferit.
Pixnapping țintește același canal lateral ca și GPU.zip, specific timpul precis necesar pentru a reda un cadru pe ecran. Pentru a face măsurătorile, aplicația rău intenționată folosește cod nativ Android care controlează gestionarea memoriei și accesează cronometre foarte precise. Măsurătorile au loc în timp ce aplicația analizează dacă un pixel afișat pe ecran este alb sau non-alb.
“Acest lucru permite unei aplicații rău intenționate să fure informații sensibile afișate de alte aplicații sau de site-uri web arbitrare, pixel cu pixel”, a explicat Alan Linghao Wang, autorul principal al lucrării de cercetare “Pixnapping: Bringing Pixel Stealing out of the Stone Age”, într-un interviu. “Conceptual, este ca și cum aplicația rău intenționată ar face o captură de ecran.”
Poll: Care este cel mai grav aspect al atacului Pixnapping, conform cercetătorilor?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply