Дослідники зі США описали нову атаку Pixnapping, яка дає змогу шкідливим Android‑додаткам знімати візуальні дані з екрана без жодних дозволів — від повідомлень у месенджерах до одноразових 2FA‑кодів. За повідомленням авторів, демонстрація на актуальних пристроях підтвердила можливість викрадення кодів менше ніж за 30 секунд.
Як працює атака Pixnapping: зловживання intents і SurfaceFlinger
Ланцюжок починається з маніпуляції системою Android Intents: шкідливий застосунок провокує відкриття цільової активності або веб‑сторінки так, щоб їх вміст одночасно опрацьовував системний компоновщик SurfaceFlinger. Саме він відповідає за злиття кількох вікон у спільний кадр під час відображення.
Далі застосовується маскувальна активність — вікно‑накладка, яке виводиться на передній план і практично повністю біле, окрім одного прозорого «віконця». Через це «віконце» атакувальник біт за бітом визначає стан цільового пікселя (білий/небілий) на прихованому нижче вікні. Так поступово формується карта потрібних пікселів, наприклад тих, що складають цифри 2FA‑коду.
«Розтягування» пікселів і розпізнавання символів
Щоб підвищити помітність окремих точок, дослідники задіяли розмиття в SurfaceFlinger, що створює ефект «розтягування» ізольованих пікселів. Після відновлення набору цільових точок виконується розпізнавання символів за принципом OCR. По суті, це несанкціонований «скриншот» даних, до яких застосунок не повинен мати доступу.
GPU.zip: чому взагалі відбувається витік
Ключовим каналом витоку є side‑channel GPU.zip, що експлуатує особливості стиснення графічних даних у сучасних GPU. Попри відносно низьку пропускну здатність — близько 0,6–2,1 пікселя за секунду — оптимізації в методиці дають змогу зібрати достатньо інформації, аби відновити 2FA‑коди та інші фрагменти конфіденційних даних менш ніж за пів хвилини. Важливо, що атака не потребує додаткових дозволів, бо використовує побічні ефекти графічного стека Android.
Уразливі пристрої та масштаб застосування
Pixnapping продемонстровано на Google Pixel 6, 7, 8, 9 і Samsung Galaxy S25 з Android від версії 13 до 16 — усі моделі виявилися уразливими. Оскільки базові механізми присутні і в старіших релізах, до ризику потенційно належить ширший пул пристроїв.
Аналіз майже 100 000 застосунків з Google Play виявив сотні тисяч викликаємих дій через intents. Це вказує на широку практичну застосовність: є безліч сценаріїв, коли зловмисник може запускати потрібні активності для подальшої «крадіжки пікселів».
Стан виправлень: CVE-2025-48561 і складність експлуатації
Google випустила вересневе оновлення Android для усунення CVE-2025-48561, але дослідники повідомили про можливість обійти захист. За словами компанії, оновлений варіант атаки потребує знань специфіки цільового пристрою, що підвищує поріг експлуатації. Очікується, що більш ефективне виправлення стане доступним у грудні 2025 року. Google і Samsung пообіцяли закрити проблему до кінця року, тоді як виробники GPU поки не оголосили планів щодо усунення самого side‑channel GPU.zip. Ознак використання Pixnapping «в полі» наразі не виявлено.
Як знизити ризики: поради користувачам і організаціям
З огляду на бездозвільний характер атаки захист має спиратися на гігієну безпеки та обмеження можливостей зловмисних застосунків.
- Оновлюйте Android і патчі безпеки одразу після виходу — це основний бар’єр проти side‑channel загроз.
- Уникайте APK з неперевірених джерел і ретельно оцінюйте репутацію розробника навіть у Google Play.
- Мінімізуйте застосунки, що ініціюють intents; регулярно перевіряйте критичні доступи (накладання поверх інших вікон, служби спеціальних можливостей).
- Використовуйте стійкіші методи MFA: апаратні ключі безпеки (FIDO2/WebAuthn) або захищені push‑підтвердження замість кодів, що відображаються на екрані.
- Для підприємств: застосовуйте політики MDM/EMM, що блокують накладання вікон і обмежують доступ до Accessibility для неперевірених застосунків.
Pixnapping демонструє, що навіть без явних дозволів зловмисники можуть витягувати чутливі дані, використовуючи побічні ефекти графічного стека Android. Своєчасно встановлюйте оновлення, обмежуйте поверхневі взаємодії між застосунками та переходьте на фішингостійкі методи автентифікації. Це допоможе суттєво знизити ризик до появи остаточних виправлень у платформі та графічних драйверах.
