Tim istraživača sa Univerziteta Carnegie Mellon otkrio je novu metodu napada koja omogućava malicioznim aplikacijama da kradu osjetljive podatke sa Android uređaja.
Napad, nazvan Pixnapping, demonstriran je na Google i Samsung telefonima. Google je već objavio prvu zakrpu za Android operativni sistem i radi na dodatnoj zaštiti kojom će spriječiti potencijalne napade.
Da bi se pokrenuo Pixnapping napad, haker mora navesti metu da instalira malicioznu aplikaciju na svoj Android uređaj. Što je posebno zabrinjavajuće, aplikacija ne zahtijeva nikakve Android dozvole da bi sprovela napad.
Prema riječima istraživača, napad počinje tako što maliciozna aplikacija poziva drugu aplikaciju sa koje će se krasti podaci. Zatim pokreće grafičke operacije nad pikselima u toj aplikaciji, koji su povezani sa dijelom ekrana gdje se obično prikazuju osjetljive informacije. U napadu se koristi GPU side-channel tehnika poznata kao GPU.zip, koju su istraživači otkrili još 2023. godine, da bi se ti pikseli ukrali – jedan po jedan.
Sve ove operacije odvijaju se u pozadini, dok korisnik ne sumnjajući koristi malicioznu aplikaciju.
„Pixnapping forsira prikazivanje osjetljivih piksela kroz render pipeline i preklapa poluprozirne aktivnosti iznad tih piksela pomoću Android intencija. Za generisanje grafičkih operacija koristi se API za zamućivanje prozora, dok se za mjerenje vremena renderovanja koriste VSync povratni pozivi“, objasnili su istraživači.
„U suštini, to je kao da maliciozna aplikacija pravi snimak ekrana sadržaja koji ne bi trebalo da vidi“, dodali su.
Istraživači su uspješno izveli napad na Pixel i Samsung telefone, ali vjeruju da su i uređaji drugih proizvođača podložni ranjivosti. Tokom testiranja uspjeli su da izvuku osjetljive podatke sa sajtova kao što su Gmail i Google nalozi, te iz aplikacija Venmo, Signal, Google Authenticator i Google Maps.
Pixnapping može da se iskoristi za krađu podataka kao što su 2FA kodovi, e-mailovi i poruke, ali samo informacija koja je trenutno vidljiva na ekranu može biti kompromitovana.
Posebno su testirali aplikaciju Google Authenticator, sa koje su uspjeli da ukradu 2FA kodove za manje od 30 sekundi — što je važno jer kodovi u Authenticatoru ističu upravo nakon tog vremena. Authenticator je pogodna meta jer je pozicija koda na ekranu uvijek ista, što olakšava krađu piksel po piksel.
Ipak, uspješnost napada varirala je između 29% i 73% na Pixel uređajima, dok na Samsung Galaxy S25 nisu uspjeli da povrate kodove u roku od 30 sekundi.
Google je o ranjivosti obaviješten u februaru 2025. godine. Ranjivosti je kasnije dodijeljen identifikator CVE-2025-48561, a zakrpa je objavljena u sklopu Android ažuriranja u septembru. Istraživači su, međutim, uspjeli da zaobiđu ovu zakrpu, pa Google sada radi na dodatnoj zaštiti koja bi trebalo da bude dostupna u decembru.
Izvor: SecurityWeek
