Nově objevený typ útoku dokáže za méně než 30 sekund ukrást citlivá data ze zařízení s operačním systémem Android, včetně kódů pro dvoufaktorové ověření. Jeho provedení nicméně vyžaduje značnou technickou zdatnost.
Útok, který akademičtí výzkumníci, kteří jej vyvinuli, nazvali Pixnapping, funguje tak, že využívá způsob, jakým zařízení s Androidem zobrazují informace na obrazovce. Vyžaduje, aby oběť nejprve nainstalovala škodlivou aplikaci, která však k fungování nepotřebuje žádná zvláštní systémová oprávnění. Po instalaci může efektivně číst data zobrazená jakoukoli jinou aplikací v zařízení.
Výzkumníci úspěšně předvedli Pixnapping na telefonech Google Pixel a Samsung Galaxy S25, dle nich by však mohl být přizpůsoben i pro jiné modely chytrých telefonů. A to i přesto, že Google už minulý měsíc vydal aktualizační opatření, aby toto riziko snížil.
Jak tedy Pixnapping funguje? Škodlivá aplikace využívá programovací rozhraní Androidu k tomu, aby cílové aplikace zobrazovaly na obrazovce citlivé informace, jako jsou ověřovací kódy nebo vlákna zpráv. ¨
Poté provádí grafické operace na jednotlivých pixelech a využívá postranní kanál, který přesně měří, jak dlouho trvá vykreslení každého snímku. Analýzou těchto časů vykreslení může škodlivá aplikace „přeložit“ pixely na písmena, čísla nebo tvary.
„Všechno, co je viditelné při otevření cílové aplikace, může být škodlivou aplikací pomocí Pixnapping ukradeno. Chatové zprávy, kódy dvoufaktorového ověření, e-mailové zprávy atd. jsou všechny zranitelné, protože jsou viditelné,“ napsali vědci.
Metoda připomíná GPU.zip, útok z roku 2023, který umožňoval škodlivým webovým stránkám krást citlivá vizuální data využitím postranních kanálů v GPU. Tyto zranitelnosti nebyly nikdy opraveny – prohlížeče pouze omezily určité funkce, aby útok zablokovaly.
Alan Linghao Wang, hlavní autor výzkumu, vysvětluje: „Je to, jako by škodlivá aplikace pořizovala snímek obrazovky s obsahem, ke kterému by neměla mít přístup.“ Rychlost útoku se liší v závislosti na tom, co je cílem zcizení.
U časově citlivých dat, jako jsou kódy dvoufaktorového ověřování, které vyprší po 30 sekundách, záleží na každé vteřině. Při testování se výzkumníkům podařilo získat kompletní šestimístné kódy v 73 % pokusů na telefonech Pixel 6, v 53 % na Pixel 7, v 29 % na Pixel 8 a v 53 % na Pixel 9.
Doba zisku kódů se pohybovala v průměru mezi 14 a 26 sekundami. V případě Samsungu Galaxy S25 se jim kódy v třicetisekundovém okně ukrást nepodařilo, a to kvůli „technickému šumu“.
Společnost Google tento problém uznala. „V zářijovém bezpečnostním bulletinu pro Android jsme vydali opravu pro CVE-2025–48561, která toto chování částečně zmírňuje,“ uvedl zástupce společnosti. „V prosincovém bezpečnostním bulletinu pro Android vydáváme další opravu pro tuto zranitelnost. Nezaznamenali jsme dosud žádné důkazy o zneužití v reálném prostředí.“
Securitytrends si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
PŘEDPLATNÉ
ČLÁNKY DO MAILU