Екип изследователи от Университета на Калифорния, Бъркли, Университета на Вашингтон и Университета Карнеги Мелън разкриха критична техника за кражба на данни, наречена Pixnapping, която позволява на зловредно приложение да „прочете“ съдържанието на екрана на Android устройство – един пиксел по един пиксел – без да има специални разрешения. Според авторите практически всички съвременни Android телефони и приложения са уязвими, включително Google Pixel (версии 6-9), Samsung Galaxy S25 и Android 13-16.

Какво представлява атаката Pixnapping

• Зловредното приложение не иска никакви специални разрешения и не изисква допълнителни действия от потребителя след първоначалното стартиране.

• То стартира легитимна активност на насоченото приложение (например Google Authenticator, Signal, Gmail и др.) чрез Android intents, изчаква презастрелването/обновяването на съдържанието (напр. 2FA код) и след това извлича информацията пиксел по пиксел.

• Атаката принуждава чувствителни пиксели да влязат в рендеринг пайплайна, след което наслагва полупрозрачни активности върху тях и измерва времената за рендериране, използвайки страничен канал, свързан с GPU компресията. От тези разлики във времето може да се извлече цветът на целевия пиксел — и така да се реконструира видимото съдържание.

• Изследователите демонстрират, че дори със сравнително бавен канал (0,6-2,1 пиксела в секунда) е възможно да се възстановят чувствителни символи – например 2FA кодове – за под 30 секунди, а пълни страници (като Gmail) могат да бъдат реконструирани за десетки часове. Те също така предупреждават, че по-оптимизирани варианти биха могли да доближат скоростта до един пиксел на опресняване на екрана.

Технически нюанси и въздействие

• Атаката злоупотребява с механизма за стартиране на активности (intents) и с рендеринг/компресиране в GPU, за да измерва времеви различия – това е страничен канал, а не стандартна утечка чрез разрешения.

• Всичко, което е визуално достъпно при отваряне на целевото приложение – чатове, 2FA кодове, имейли, финансови приложения и др. – е изложено на риск.

• Освен това изследователите предупреждават, че подобно зловредно приложение може да определи дали други приложения са инсталирани на телефона, което улеснява профилирането на жертвата.

Статус на обезопасяването и планирани корекции

• Изследователите първоначално уведомиха Google на 24 февруари 2025 г., а Google оцени проблема като с висока сериозност.

• Google вече пусна опитна (mitigating) мярка, която ограничава броя на активностите, върху които приложението може да прилага blur, но изследователите демонстрираха работещ обход за тази мярка. Този обход е разкрит на Google на 8 септември 2025 г. и в момента е под ембарго.

• Google планира допълнителен ъпдейт в декемврийския Android Security Bulletin, който да адресира по-ефективно Pixnapping. Към момента няма окончателен, публично наличен пълен пач.

Какво да направят производителите, разработчиците и потребителите

• За Google и OEM производителите: необходимо е по-сериозно ограничаване на възможността за неограничено стартиране и наслагване на активности, подобрено управление на рендеринг пайплайна и отстраняване на странични канали, свързани с GPU компресия.

• За разработчиците на чувствителни приложения (2FA, мессинджъри, банки): да обмислят мерки като отделни защитени контексти за рендеринг, hardening срещу стартиране от външни intents, и допълнителни индикации/контроли за видимост на съдържанието.

• За организациите и ИТ екипите: да следят декемврийския бюлетин на Android и да планират своевременна доставка на актуализации за служебни устройства; да ограничат инсталирането на несертифицирани приложения и да налагат политики за приложение през MDM.

• За потребителите: да инсталират актуализациите на платформата веднага щом станат достъпни; да избягват инсталиране на приложения извън доверени магазини; при съмнение — използване на физически 2FA ключове вместо софтуерни кодове.