Aplicațiile de autentificare sunt instrumente esențiale pentru protejarea conturilor online. Însă, într-o studiu îngrijorător, cercetătorii în domeniul securității au descoperit o metodă inovatoare de a fura date din aceste aplicații de pe telefoanele Android, deschizând calea către furtul codurilor de autentificare în doi pași (2FA).
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Tehnica de atac, detaliată într-un articol intitulat „Pixnapping: Bringing Pixel Stealing out of the Stone Age” (PDF), a fost dezvoltată de cercetători de la Universitatea din California, Berkeley, San Diego, Washington și Carnegie Mellon, potrivit ArsTechnica.
Noul atac necesită ca victima să instaleze mai întâi o aplicație rău intenționată pe un telefon sau tabletă Android. Aplicația, care nu necesită permisiuni de sistem, poate apoi citi în mod eficient datele afișate pe ecran de orice altă aplicație instalată. Pixnapping a fost demonstrat pe telefoanele Google Pixel și Samsung Galaxy S25 și ar putea fi modificat pentru a funcționa și pe alte modele, cu eforturi suplimentare. Google a lansat luna trecută măsuri de atenuare, dar cercetătorii au afirmat că o versiune modificată a atacului funcționează chiar și după instalarea actualizării.
Atacurile Pixnapping încep cu aplicația rău intenționată care invocă interfețele de programare Android care determină autentificatorul sau alte aplicații vizate să trimită informații sensibile pe ecranul dispozitivului. Aplicația rău intenționată execută apoi operațiuni grafice pe pixeli individuali de interes pentru atacator. Pixnapping exploatează apoi un canal secundar care permite aplicației rău intenționate să cartografieze pixelii de la acele coordonate obținând litere, numere sau forme.
„Orice este vizibil atunci când aplicația țintă este deschisă poate fi furat de aplicația rău intenționată folosind Pixnapping”, au scris cercetătorii pe un site web informativ. „Mesajele de chat, codurile 2FA, mesajele de e-mail etc. sunt toate vulnerabile, deoarece sunt vizibile. Dacă o aplicație are informații secrete care nu sunt vizibile (de exemplu, are o cheie secretă care este stocată, dar nu este afișată niciodată pe ecran), acele informații nu pot fi furate de Pixnapping.”
Noua clasă de atacuri amintește de GPU.zip, un atac din 2023 care permitea site-urilor web rău intenționate să citească numele de utilizator, parolele și alte date vizuale sensibile afișate de alte site-uri web. Acesta funcționa prin exploatarea canalelor secundare găsite în GPU-urile tuturor furnizorilor majori. Vulnerabilitățile exploatate de GPU.zip nu au fost niciodată remediate. În schimb, atacul a fost blocat în browsere prin limitarea capacității acestora de a deschide iframe-uri, un element HTML care permite unui site web (în cazul GPU.zip, unul rău intenționat) să încorporeze conținutul unui site dintr-un domeniu diferit, deci ideea nu este nouă.
Același tip de problemă a apărut din nou în 2023 cu atacul „Hot Pixel”, care exploata GPU-urile și SoC-urile moderne pentru a fura istoricul de navigare.
Pixnapping în trei pași
Atacul se desfășoară în trei pași principali. În primul rând, aplicația rău intenționată invocă API-urile Android care efectuează apeluri către aplicația pe care atacatorul dorește să o spioneze. Aceste apeluri pot fi utilizate și pentru a scana în mod eficient un dispozitiv infectat în căutarea aplicațiilor instalate de interes. Apelurile pot determina aplicația vizată să afișeze date specifice la care are acces, cum ar fi un fir de mesaje într-o aplicație de mesagerie sau un cod 2FA pentru un site specific. Acest apel determină trimiterea informațiilor către canalul de redare Android, sistemul care preia pixelii fiecărei aplicații pentru a putea fi redați pe ecran. Apelurile specifice Android includ activități, intenții și sarcini.
În a doua etapă, Pixnapping efectuează operații grafice asupra pixelilor individuali pe care aplicația vizată i-a trimis către canalul de redare. Aceste operațiuni aleg coordonatele pixelilor țintă pe care aplicația dorește să îi fure și încep să verifice dacă culoarea acelor coordonate este albă sau non-albă sau, mai general, dacă culoarea este c sau non-c (pentru o culoare arbitrară c).
Al treilea pas măsoară timpul necesar pentru fiecare coordonată. Combinând timpii pentru fiecare dintre ele, atacul poate reconstrui imaginile trimise către pipeline-ul de redare, pixel cu pixel.
Practic, atacatorul redă ceva transparent în fața aplicației țintă, apoi folosește un atac de sincronizare care exploatează compresia datelor grafice ale GPU-ului pentru a încerca să afle culoarea pixelilor. Nu este ceva atât de simplu precum „dă-mi pixelii unei alte aplicații afișate pe ecran în acest moment”. De aceea durează și poate fi prea lent pentru a se încadra în fereastra de 30 de secunde a aplicației Google Authenticator.
Timpul necesar pentru a efectua atacul depinde de mai multe variabile, inclusiv de numărul de coordonate care trebuie măsurate. În unele cazuri, nu există un termen limită strict pentru obținerea informațiilor pe care atacatorul dorește să le fure. În alte cazuri, cum ar fi furtul unui cod 2FA, fiecare secundă contează, deoarece fiecare cod este valabil doar 30 de secunde.
Într-un e-mail, un reprezentant Google a scris: „Am emis un patch pentru CVE-2025-48561 în buletinul de securitate Android din septembrie, care atenuează parțial acest comportament. Emitem un patch suplimentar pentru această vulnerabilitate în buletinul de securitate Android din decembrie. Nu am văzut nicio dovadă de exploatare în mediul real.”
Samsung, pe de altă parte, a recunoscut problema, dar a marcat-o ca „cu severitate redusă” din cauza complexității hardware-ului. De asemenea, rămâne neclar dacă dispozitivele Android de la alți producători sunt susceptibile la acest atac.
Între timp, echipa de cercetători în domeniul securității spune că nu a investigat dacă atacul se aplică și altor platforme. Dar ei observă că sistemul de operare Android este parțial susceptibil, deoarece trimite „activitățile unei alte aplicații către canalul de redare Android” prin funcția Intents.
Pixnapping este o cercetare utilă, deoarece demonstrează limitele garanțiilor de securitate și confidențialitate oferite de Google, conform cărora o aplicație instalată nu poate accesa datele aparținând unei alte aplicații. Cu toate acestea, provocările legate de implementarea atacului pentru a fura date utile în scenarii reale sunt probabil semnificative. Într-o epocă în care adolescenții pot fura secrete de la companii din Fortune 500 pur și simplu cerând frumos, utilitatea atacurilor mai complicate și limitate este probabil mai puțin valoroasă.
