Atak PixNapping na Androidzie pozwala na kradzież kodów 2FA bez specjalnych uprawnień poprzez manipulację zrzutami ekranu

Uwierzytelnianie dwuskładnikowe (2FA) stało się standardem, chroniąc nasze dane przed nieautoryzowanym dostępem. Większość użytkowników ufa tej metodzie jako solidnej barierze obronnej. Jednak badacze bezpieczeństwa nieustannie odkrywają nowe wektory ataków, które potrafią ominąć nawet tak sprawdzone zabezpieczenia. Zagrożenie może jednak czaić się w jednej z najczęściej wykonywanych i pozornie nieszkodliwych czynności na smartfonie.

Atak PixNapping wykorzystuje lukę w Androidzie, aby podmienić zrzut ekranu użytkownika na fałszywy i w tle wykraść oryginał z wrażliwymi danymi.

Twoja gamingowa myszka może Cię podsłuchiwać. Sensory PixArt PAW3395 i PAW3399 zagrażają prywatności użytkowników

Zespół naukowców z University of California Berkeley, Carnegie Mellon University i University of Washington przedstawił nową klasę ataków na urządzenia Android. Technika Pixnapping pozwala złośliwym aplikacjom na kradzież danych piksel po pikselu z ekranów innych aplikacji. Atak wykorzystuje luki w Android API oraz podatność sprzętową GPU.zip, która dotyczy nowoczesnych procesorów graficznych. Pixnapping stanowi ewolucję ataków pixel stealing znanych z przeglądarek internetowych od 2013 roku. Badacze zaadaptowali tę metodę na platformę mobilną, obchodząc wszystkie zabezpieczenia stosowane w przeglądarkach. W przeciwieństwie do wcześniejszych technik, nowy atak może wykradać dane zarówno ze stron internetowych, jak i natywnych aplikacji Android. Mechanizm działania bazuje na trzech krokach. Najpierw złośliwa aplikacja używa Android Intents do otwierania docelowych aplikacji i przesyłania ich pikseli do potoku renderowania. Następnie tworzy stos półprzezroczystych aktywności nakładanych na aplikację ofiary, co pozwala na izolację i powiększenie pojedynczych pikseli. Ostatnim etapem jest pomiar czasów renderowania klatek, które różnią się w zależności od koloru pikseli ze względu na kompresję danych graficznych GPU.

Mistrzostwa Świata w Piłce Nożnej 2026 na celowniku hakerów. Zagrożenia obejmują fałszywe bilety, streaming i towary

Badacze przetestowali Pixnapping na smartfonach Google Pixel 6, 7, 8, 9 oraz Samsung Galaxy S25. Na urządzeniach Pixel udało się skutecznie wykraść kody 2FA z Google Authenticator w ciągu 14-25 sekund, osiągając skuteczność od 29 do 73 proc. w zależności od modelu. Atak działa również na dane z Gmail, Signal, Venmo, Google Maps czy Google Messages. Luka oznaczona jako CVE-2025-48561 została zgłoszona Google w lutym 2025 roku. Firma wydała częściową łatkę we wrześniu, jednak badacze odkryli sposób na jej obejście. Pełne zabezpieczenie ma zostać wprowadzone w grudniowym biuletynie bezpieczeństwa Android. Samsung sklasyfikował problem jako niską wagę ze względu na złożoność sprzętową swoich urządzeń. Wielokrotnie informowaliśmy o problemach bezpieczeństwa w urządzeniach mobilnych, w tym o shakowaniu Samsunga Galaxy S23 podczas konkursu Pwn2Own czy lukach w Android. Problem Pixnapping pokazuje, jak zaawansowane mogą być współczesne metody ataków wykorzystujące szczegóły implementacji systemów operacyjnych i sprzętu graficznego.