Egy új androidos trükk 30 másodperc alatt lophat kódokat és üzeneteket
Egy új, Pixnapping névre keresztelt támadástípus miatt az Androidon futó, látszólag ártalmatlan alkalmazás is képes lehet kétlépcsős azonosító kódok, privát üzenetek, e-mailek vagy akár helyelőzmények megszerzésére – mindezt külön engedélykérés nélkül. A módszert akadémiai kutatók írták le és Google Pixel készülékeken, valamint Samsung Galaxy S25-ön demonstrálták. Bár a Google már kiadott részleges javítást, a kutatók szerint a támadás módosított változata még így is működhet.
Mi a Pixnapping, és miért veszélyes?
A Pixnapping lényege, hogy a támadó alkalmazás nem fér hozzá közvetlenül más appok adataihoz, mégis ki tudja következtetni, mi látható a képernyőn. Úgy viselkedik, mintha képernyőképet készítene, holott erre nincs jogosultsága. A trükk abban áll, hogy a támadó mérni tudja a képkockák kirajzolásának idejét, és ebből – pixelről pixelre – visszafejti, hogy az adott koordinátán milyen szín lehet. Mivel minden, ami a célzott alkalmazás megnyitásakor látható, „kiszivárogtatható”, a látható 2FA kódok, chatüzenetek vagy e-mailek veszélybe kerülhetnek. Amit az app nem jelenít meg (például titkos kulcs a háttértáron), azt a módszer nem éri el.
Egy régi gyengeség új köntösben: időzítés és grafika
A támadás a 2023-as GPU.zip ötletéhez hasonlít: grafikus oldalsáv-csatornát használ. A támadó app Android API-kat hív meg, hogy a célalkalmazás tartalmat rajzoljon a képernyőre (például megnyit egy üzenetfolyamot vagy egy hitelesítő appban új 2FA kódot kér). Ezután a támadó app „rárajzol” egy láthatatlan ablakot, és olyan grafikai műveleteket végez, amelyek érzékenyek arra, hogy a háttérben lévő pixel fehér vagy nem fehér (általánosabban: az adott színű-e vagy sem). A képkockák kirajzolási idejének mérése elárulja a háttér pixeleinek színkategóriáját, és így mozaikszerűen visszaáll a teljes tartalom.
Időkorlát és sikerarány: 30 másodperces 2FA kódok
A kutatók a Google Authenticatorből száz különböző, hatjegyű kódot próbáltak kinyerni Pixel készülékeken. A teljes kód helyes visszaállítása Pixel 6-on az esetek 73 százalékában, Pixel 7-en 53 százalékban, Pixel 8-on 29 százalékban, Pixel 9-en 53 százalékban sikerült. Az átlagos visszafejtési idő 14–26 másodperc volt, vagyis belefért a tipikus, 30 másodperces érvényességi ablakba. A Galaxy S25-ön a zaj miatt ugyanez a megközelítés nem ért célt ezen a kódon belül, de a szerzők szerint finomhangolással ez is javítható.
Ez is érdekelhet: Újabb hackertámadás: most egy japán bányászcéget fosztottak ki
Javítások és a fennálló kockázat
A Google szeptemberben részleges mérséklést adott ki az érintett viselkedésre, és decemberre újabb javítást ígér. A vállalat közölte, hogy nem lát bizonyítékot aktív, valós körülmények között történő kihasználásra. A kutatók ugyanakkor bemutatták: a támadás módosított variánsa a jelenlegi patchek mellett is működhet, mert az alapvető oldalcsatornát – a renderelési időzítést – nem szünteti meg teljesen. Ez rávilágít az „egy app nem láthatja a másik adatait” ígéret korlátaira, ha a grafikus alrendszer időzítését lehet visszamérni.
Mennyire reális a való életben?
A Pixnapping nem egy „egy kattintásos” képernyőolvasás: a támadónak meg kell győznie az áldozatot, hogy telepítsen egy rosszindulatú alkalmazást; időzíteni kell a célapp megnyitását; és pixelről pixelre, időméréssel kell „kirajzolni” a tartalmat. Komoly zaj, készülék- és verziófüggő különbségek lassíthatják a támadást. Ugyanakkor a koncepció veszélyes, mert engedélyek nélkül, a grafikus alrendszer mellékhatásait kihasználva kerül meg egy alapvető platform-garanciát.
Mit tehetsz most? Gyakorlati védelem
- Csak megbízható forrásból telepíts alkalmazást; kerüld a harmadik féltől származó áruházakat és az ismeretlen APK-kat.
- Töröld a felesleges appokat; minél kevesebb a támadási felület, annál jobb.
- Kapcsold be a Play Protectet és az automatikus frissítéseket; telepítsd a szeptemberi és későbbi biztonsági csomagokat.
- Kritikus fiókoknál válts biztonságosabb többfaktoros megoldásra (például hardverkulcs, passkey); ha maradsz kódos 2FA-n, lehetőleg ne jelenítsd meg sokáig a kódot a képernyőn.
- Üzenetküldő- és e-mailes appokban kapcsold ki a képernyő-előnézeteket zárolt kijelzőn.