Исследователи из США представили side-channel атаку Pixnapping, позволяющую вредоносному Android-приложению без запроса разрешений извлекать визуальные данные с экрана — от сообщений в мессенджерах до одноразовых кодов двухфакторной аутентификации. Метод подтвержден на актуальных устройствах и, по данным авторов, позволяет похищать коды 2ФА менее чем за 30 секунд.
Механика атаки: от intents к «кражe» пикселей
Pixnapping начинается со злоупотребления системой Android Intents: вредоносное приложение провоцирует открытие целевого приложения или веб‑страницы так, чтобы их окно обрабатывалось системным компоновщиком SurfaceFlinger, отвечающим за объединение нескольких окон при совпадении во времени отображения.
Далее злоумышленник изолирует интересующие пиксели (например, формирующие цифры 2ФА-кода) через маскирующую активность, которая выводится на передний план и скрывает целевое окно. Маска делается полностью белой, кроме одного выбранного положения, где пиксель становится прозрачным — это позволяет выяснить, является ли целевой пиксель белым или нет.
Растягивание пикселей и распознавание символов
Во время атаки изолированные пиксели «увеличиваются» за счет реализации размытия в SurfaceFlinger, создающей эффект растягивания. После воссоздания набора целевых пикселей применяется метод, аналогичный OCR, чтобы распознать символы. По сути, это выглядит как несанкционированный «скриншот» содержимого, к которому приложение не должно иметь доступа.
Роль GPU.zip: почему утечка вообще возможна
Ключевым каналом утечки служит side-channel GPU.zip, эксплуатирующий особенности сжатия графических данных в современных GPU. Хотя скорость утечки невысока — порядка 0,6–2,1 пикселя в секунду, оптимизации исследователей позволили собрать достаточно информации, чтобы извлекать 2ФА-коды и другие фрагменты конфиденциальных данных менее чем за полминуты. Важно, что этот подход не требует дополнительных разрешений, так как опирается на побочные эффекты работы графического стека.
Уязвимые устройства и масштабы применимости
Pixnapping протестирован на Google Pixel 6, 7, 8 и 9, а также Samsung Galaxy S25 под управлением Android от версии 13 до 16 — все устройства оказались уязвимы. Поскольку базовые механизмы атаки присутствуют и в более ранних версиях Android, вероятно, риску подвергается и значительная доля старых устройств.
Анализ почти 100 000 приложений из Google Play показал наличие сотен тысяч вызываемых действий через intents, что указывает на широкую практическую применимость атаки: множество сценариев позволяющих запускать целевые активити для последующей «кражи пикселей».
Статус исправлений: CVE-2025-48561 и сложность эксплуатации
Google выпустила сентябрьское обновление Android для устранения уязвимости CVE-2025-48561, однако исследователям удалось обойти защиту. Компания заявляет, что обновленный вариант атаки требует знания специфики целевого устройства, что повышает сложность эксплуатации. Ожидается, что более эффективное исправление будет доступно в декабре 2025 года.
Google и Samsung пообещали закрыть проблему до конца года. При этом производители GPU пока не объявили о планах устранения side-channel уязвимости GPU.zip. На текущий момент признаков эксплуатации Pixnapping «в дикой природе» не выявлено.
Практические рекомендации по снижению рисков
— Устанавливайте обновления Android и патчи безопасности сразу после выхода — это важнейшая линия обороны против side-channel атак.
— Избегайте установки приложений из непроверенных источников и внимательно оценивайте репутацию разработчика в Google Play.
— Минимизируйте число приложений, способных инициировать переходы по intents, и регулярно проверяйте выданные доступы к функциям сверх базовых (например, наложение поверх других приложений и сервисы специальных возможностей).
— Для критичных аккаунтов рассматривайте методы аутентификации, менее зависящие от отображения на экране: аппаратные ключи безопасности или защищенные push‑подтверждения.
Pixnapping демонстрирует, что даже без явных разрешений злоумышленники могут извлекать чувствительные данные, используя побочные эффекты графического стека Android. Следите за бюллетенями безопасности, оперативно применяйте обновления и по возможности переходите на устойчивые к перехвату механизмы аутентификации — это позволит снизить риск до выхода окончательных исправлений платформы и графических драйверов.
