- Исследователи безопасности воспроизвели атаку Pixnapping, позволяющую красть данные из приложений на Android, включая коды двухфакторной аутентификации.
- Атака использует аппаратный сторонний канал GPU для снятия скриншотов других приложений без специальных разрешений.
- Уязвимость получила идентификатор CVE-2025-48561; Google уже выпустила патчи, однако исследователи нашли обходные пути для атаки.
Группа исследователей безопасности продемонстрировала новую разновидность 12-летней атаки Pixnapping, адаптированной для платформы Android. Эта методика позволяет вредоносному приложению обходить обычные системные ограничения и похищать конфиденциальные данные из других приложений, включая данные двухфакторной аутентификации, что представляет значительную угрозу безопасности пользователей.
Суть атаки заключается в использовании уязвимости в API Android совместно с аппаратным сторонним каналом, связанным с графическим процессором (GPU). Вредоносное приложение запускает целевое приложение (например, Google Authenticator) и измеряет время отрисовки определённых пикселей, что позволяет с высокой точностью восстановить визуальное содержимое экрана жертвы. При этом не требуется получать какие-либо специальные разрешения в манифесте Android-приложения, что значительно усложняет обнаружение и блокировку атаки.
Была продемонстрирована работа Pixnapping на современных устройствах, таких как Google Pixel 6–9 и Samsung Galaxy S25 под управлением Android версий 13–16. По результатам тестов атака может украсть коды двухфакторной аутентификации менее чем за полминуты, при этом действия пользователя остаются незамеченными.
Уязвимость получила обозначение CVE-2025-48561. В компании Google уже предприняли шаги для её устранения, ограничив число объектов, к которым можно применять размытие в Android. Тем не менее исследователи нашли обходные пути, позволяющие продолжать использовать данную технику. В связи с этим в декабрьском пакете обновлений безопасности Android был выпущен дополнительный патч, направленный на минимизацию риска.
Данный инцидент подчёркивает важность регулярного обновления мобильных устройств и использования многоуровневых систем защиты для предотвращения компрометации чувствительной информации. Кроме того, он является напоминанием о том, что даже достаточно давние уязвимости могут оставаться актуальными и представлять угрозу, если не будет проведена своевременная и комплексная работа по их устранению.
