На экране вашего Android есть невидимое зеркало. И оно отражает всё, что вы делаете, прямо в руки злоумышленников
NewsMakerПобочные эффекты работы GPU позволяют воссоздать любую картинку и текст.
Группа ученых представила новый тип атаки на Android под названием Pixnapping , который позволяет похищать пиксели с экрана смартфона и восстанавливать данные, отображаемые в приложениях. В отличие от старых браузерных методов, таких как атаки через SVG-фильтры и iframe, новая схема полностью обходила все современные механизмы защиты браузеров и позволяла извлекать секреты из любых программ, включая не связанные с вебом приложения.
Pixnapping работает по принципу многоуровневого наложения интерфейсов. Злоумышленник создаёт вредоносное приложение, которое с помощью системных Intent-вызовов открывает целевое окно другого приложения и помещает поверх него стек полупрозрачных активностей. Система Android при этом объединяет все эти слои в единую цепочку рендеринга, благодаря чему вредоносный код получает возможность измерять время отрисовки и использовать побочные эффекты GPU-сжатия данных для восстановления цвета отдельных пикселей. Таким образом удавалось восстанавливать изображения и текст, даже если приложение находилось в фоне или использовало собственные механизмы защиты, как, например, Signal или Google Authenticator .
В ходе экспериментов атака была успешно протестирована на пяти устройствах — Google Pixel 6, 7, 8, 9 и Samsung Galaxy S25. На смартфонах Google учёные выявили, что источник утечки кроется в механизме сжатия графических данных Mali GPU, создающем различия во времени рендеринга в зависимости от цветовой насыщенности блока. На Galaxy S25 исследователи применили модифицированную версию атаки с использованием скрытых API Android и множества областей размытия для обхода отличий в графической подсистеме. Средняя точность восстановления составила от 86 до 96%, а скорость утечки — до двух пикселей в секунду, что позволило за несколько часов полностью восстановить фрагменты экранов приложений .
Pixnapping открывает доступ к контенту, который ранее считался недостижимым для подобного рода атак. Авторы смогли воспроизвести экраны с личными данными из Google Account, Gmail, Perplexity AI, а также из таких приложений, как Google Maps, Venmo, Signal, Google Messages и Google Authenticator. В последнем случае удалось перехватывать шестизначные одноразовые коды 2FA менее чем за 30 секунд, используя оптимизированную стратегию выборочного считывания пикселей по алгоритму, аналогичному оптическому распознаванию символов.
Исследователи отмечают, что их атака не требует никаких разрешений, не вызывает видимых действий на экране и может выполняться полностью незаметно для пользователя. Достаточно, чтобы жертва установила вредоносное приложение, не подозревая, что оно собирает данные из других программ. В отличие от прежних веб-методов, новая реализация не ограничена политикой Same Origin и способна атаковать даже офлайн-приложения .
Авторы работы сообщили об уязвимости Google 24 февраля 2025 года. Компания признала проблему, присвоила ей идентификатор CVE-2025-48561 (оценка CVSS: 5.5) и выпустила исправление 2 сентября. Однако уже через несколько дней исследователи нашли обходное решение и повторно уведомили Google и Samsung. На момент публикации работа по устранению уязвимости продолжалась. Код и инструменты исследования опубликованы в открытом доступе на GitHub проекта TAC-UCB.
Pixnapping демонстрирует, что ограничения, созданные для защиты браузеров, не гарантируют безопасность экосистемы Android в целом. Механизм наложения интерфейсов, лежащий в основе мобильных приложений, может стать новым каналом утечки визуальных данных, включая финансовую информацию, личные сообщения и коды аутентификации .
Группа ученых представила новый тип атаки на Android под названием Pixnapping , который позволяет похищать пиксели с экрана смартфона и восстанавливать данные, отображаемые в приложениях. В отличие от старых браузерных методов, таких как атаки через SVG-фильтры и iframe, новая схема полностью обходила все современные механизмы защиты браузеров и позволяла извлекать секреты из любых программ, включая не связанные с вебом приложения.
Pixnapping работает по принципу многоуровневого наложения интерфейсов. Злоумышленник создаёт вредоносное приложение, которое с помощью системных Intent-вызовов открывает целевое окно другого приложения и помещает поверх него стек полупрозрачных активностей. Система Android при этом объединяет все эти слои в единую цепочку рендеринга, благодаря чему вредоносный код получает возможность измерять время отрисовки и использовать побочные эффекты GPU-сжатия данных для восстановления цвета отдельных пикселей. Таким образом удавалось восстанавливать изображения и текст, даже если приложение находилось в фоне или использовало собственные механизмы защиты, как, например, Signal или Google Authenticator .
В ходе экспериментов атака была успешно протестирована на пяти устройствах — Google Pixel 6, 7, 8, 9 и Samsung Galaxy S25. На смартфонах Google учёные выявили, что источник утечки кроется в механизме сжатия графических данных Mali GPU, создающем различия во времени рендеринга в зависимости от цветовой насыщенности блока. На Galaxy S25 исследователи применили модифицированную версию атаки с использованием скрытых API Android и множества областей размытия для обхода отличий в графической подсистеме. Средняя точность восстановления составила от 86 до 96%, а скорость утечки — до двух пикселей в секунду, что позволило за несколько часов полностью восстановить фрагменты экранов приложений .
Pixnapping открывает доступ к контенту, который ранее считался недостижимым для подобного рода атак. Авторы смогли воспроизвести экраны с личными данными из Google Account, Gmail, Perplexity AI, а также из таких приложений, как Google Maps, Venmo, Signal, Google Messages и Google Authenticator. В последнем случае удалось перехватывать шестизначные одноразовые коды 2FA менее чем за 30 секунд, используя оптимизированную стратегию выборочного считывания пикселей по алгоритму, аналогичному оптическому распознаванию символов.
Исследователи отмечают, что их атака не требует никаких разрешений, не вызывает видимых действий на экране и может выполняться полностью незаметно для пользователя. Достаточно, чтобы жертва установила вредоносное приложение, не подозревая, что оно собирает данные из других программ. В отличие от прежних веб-методов, новая реализация не ограничена политикой Same Origin и способна атаковать даже офлайн-приложения .
Авторы работы сообщили об уязвимости Google 24 февраля 2025 года. Компания признала проблему, присвоила ей идентификатор CVE-2025-48561 (оценка CVSS: 5.5) и выпустила исправление 2 сентября. Однако уже через несколько дней исследователи нашли обходное решение и повторно уведомили Google и Samsung. На момент публикации работа по устранению уязвимости продолжалась. Код и инструменты исследования опубликованы в открытом доступе на GitHub проекта TAC-UCB.
Pixnapping демонстрирует, что ограничения, созданные для защиты браузеров, не гарантируют безопасность экосистемы Android в целом. Механизм наложения интерфейсов, лежащий в основе мобильных приложений, может стать новым каналом утечки визуальных данных, включая финансовую информацию, личные сообщения и коды аутентификации .