Пикснепинг: что это такое и как защититься от кражи пикселей на Android

  • Pixnapping использует сторонний канал графического процессора и API Android для реконструкции того, что другое приложение отображает на экране, без дополнительных разрешений. Этот метод скрытен и его сложно обнаружить.
  • Коды 2FA восстанавливались за 14–26 секунд, причём наиболее успешные результаты были зафиксированы на устройствах Pixel 6–9. Утечки также наблюдались в таких приложениях, как Signal, Gmail и Venmo. Проблема затронула устройства Android 13–16.
  • Протестированные модели включают Google Pixel 6–9 и Samsung Galaxy S25. Уязвимость CVE-2025-48561 имеет потенциально широкий охват.
  • Google применила недостаточно первоначальных мер по смягчению последствий и готовит более надежный патч к декабрю 2025 года. В то же время избегайте раскрытия секретов и используйте аппаратные кошельки.
Joaquin Romero

14 минут

Что такое пикснеппинг?

Появился новый метод атаки, вызвавший большой ажиотаж среди экспертов и производителей: Pixnapping. Это гениальный метод извлечения содержимого экрана Android-смартфона без запроса дополнительных разрешений, основанный на небольших, измеримых утечках данных из графического процессора. Хотя это может показаться научной фантастикой, демонстрации показывают, что можно извлекать коды 2FA или фрагменты информации из популярных приложений за считанные секунды. Риск существует, даже если пользователь не предоставляет специальные разрешения. вредоносному приложению.

Прежде чем мы углубимся в детали, стоит прояснить один момент: Pixnapping не взламывает шифрование ваших приложений и не делает обычные скриншоты. Его суть заключается в получении визуальной информации из поведения графического оборудования и стандартных API Android. Практическим результатом является то, что непривилегированное приложение может реконструировать то, что отображает другое приложение., при условии, что этот контент виден достаточно долго.

Что такое Pixnapping и почему это должно вас волновать?

Пикснэппинг — это атака по сторонним каналам, сочетающая использование стандартных API Android с функциями графического оборудования для попиксельного определения содержимого экрана. В отличие от традиционных вредоносных программ, которые напрямую сканируют ваши файлы или крадут пароли, этот метод отслеживает время рендеринга графическим процессором и шаблоны отрисовки, чтобы реконструировать изображение определённой области. Это тонкая атака, совершаемая без разрешения, и ее очень трудно обнаружить невооруженным глазом..

Название атаки неслучайно: её цель — перехватить пиксели, то есть извлечь то, что они представляют, без официального доступа к скриншоту. Исследователи добились этого, эксплуатируя эффекты наложения и точно измеряя время, необходимое графической системе для обработки композитных изображений с полупрозрачными слоями. Эта задержка, повторяющаяся и синхронизированная, позволяет нам определить, является ли пиксель светлым или темным, а также его положение..

Как они используют .NET MAUI для сокрытия вредоносного ПО
Теме статьи:
Как .NET MAUI используется для сокрытия вредоносного ПО на Android

Как в целом работает Pixnapping?

Центральным элементом современного мобильного графического оборудования является сторонний канал, связанный со сжатием, смешиванием и отображением пикселей. Ранее применявшаяся технология, получившая название GPU.zip, частично лежит в основе этого подхода: измерение разницы в задержках во время рендеринга для получения визуальной информации. Pixnapping применяет этот принцип, используя полупрозрачные слои и синхронизацию кадров для извлечения контента. которое рисует другое приложение.

На практике вредоносное приложение накладывает полупрозрачные слои на интересующую область и манипулирует окружением так, чтобы один пиксель или небольшая область доминировали в композиции кадра. Затем оно измеряет время рендеринга и повторяет процесс многократно, сканируя позиции и записывая результаты. При достаточном количестве итераций удается восстановить изображение целевой области., как будто делаете скрытый снимок экрана.

Ход атаки, шаг за шагом

Чтобы дать вам представление, не вдаваясь в технические рецепты, наблюдаемая атака следует довольно четкой схеме. Для этого пользователю необходимо установить вредоносное приложение, но не требуется предоставлять ему никаких дополнительных разрешений..

Как избежать пикснепинга

  1. Жертва устанавливает и открывает вредоносное приложение, обычно маскируемое под что-то безобидное. Для срабатывания ловушки достаточно добровольной установки..
  2. Вредоносное приложение обманывает или ждет, пока пользователь откроет легальное приложение с конфиденциальной информацией, например, аутентификатор 2FA, электронную почту или финансовое приложение. Содержимое должно быть отображено на экране. так что атаке есть что извлечь.
  3. Вредоносное приложение выполняет графические операции на системном компоновщике и косвенно считывает то, что отображает другое приложение. Измеряет время рендеринга под полупрозрачными слоями для определения яркости и структуры пикселей..

Благодаря этому итеративному циклу код способен реконструировать целые регионы с достаточной точностью для извлечения конфиденциальных данных, которые часто обновляются, например, шестизначного одноразового пароля (OTP). Исследователи продемонстрировали реальное восстановление за считанные секунды.

Какие данные могут быть раскрыты и в какие сроки

Самое поразительное — это скорость. В опубликованных тестах шестизначные коды 2FA восстанавливались менее чем за 30 секунд на различных моделях Pixel. Среднее время извлечения составило от 14 до 26 секунд в зависимости от устройства.с показателями успешности 73, 53, 29 и 53 процента на Pixel 6, 7, 8 и 9 соответственно.

Поскольку для атаки требуется, чтобы информация оставалась видимой в течение достаточного времени, элементы, которые остаются на экране дольше нескольких секунд, представляют собой особенно уязвимые цели. Например, сид-фразы криптовалюты или фразы восстановления часто остаются видимыми, пока пользователь их вводит, что даёт злоумышленнику возможность воспользоваться ими. Если фраза появляется на экране и остается видимой, ее можно реконструировать. на основе пикселей.

Помимо аутентификаторов и начальных фраз, исследователи проверили частичные или полные утечки таких приложений, как Signal, Gmail, Google Maps и Venmo. Атака обходит средства защиты браузера и не ограничивается приложениями WebView., что расширяет потенциальную поверхность удара.

Затронутые устройства и версии

Уязвимость имеет код CVE-2025-48561 и затрагивает широкий спектр современных устройств Android. Тестирование проводилось в Google Pixel 6, 7, 8 и 9, а также Samsung Galaxy S25 с версиями Android от 13 до 16. Используемые механизмы основаны на широко доступных API и общем поведении графических процессоров., поэтому ожидается, что больше моделей будут подвержены уязвимости, даже от производителей, не названных в первоначальных тестах.

В некоторых сообщениях подчеркивается, что проблема связана не с конкретным уровнем операционной системы, а с взаимодействием между графическими API и оборудованием графического процессора. Такое сочетание делает воздействие трансверсальным и не ограничивающимся одним поставщиком..

Почему вам не нужны дополнительные разрешения

Один из самых тревожных моментов заключается в том, что атака не запрашивает конфиденциальных разрешений. Она не запрашивает доступ к хранилищу, камере или функции скриншотов. Использует легитимные возможности оконной системы для наложения полупрозрачного содержимого и синхронизировать композицию кадров.

Короче говоря: система считает, что приложение отображает обычные слои интерфейса, как это делают тысячи приложений каждый день. Фишка в том, что эти слои расположены и синхронизированы таким образом, что со временем раскрывают особенности базового контента. Это инженерия рендеринга поведения, а не прямое вторжение в память..

Четкие ограничения атаки

Для пикснепа требуется, чтобы информация присутствовала на экране. Если секрет не отображается и не отображается, атака не сможет его угадать. Размещенные, но неотображенные данные остаются вне доступаЭто ограничивает реальный риск ситуациями, когда пользователь отображает в интерфейсе конфиденциальные коды, фразы или информацию.

Существует также практическое ограничение по времени. Контент, появляющийся мельком, сложнее полностью восстановить. Тем не менее, в случае кодов 2FA, которые меняются каждые 30 секунд, исследователи показали, что времени для их захвата достаточно. В контролируемых испытаниях среднее время получения одноразового пароля соответствовало окну валидности..

Реакция Google и график исправлений

Google классифицировала проблему как крайне серьёзную и приняла меры по её снижению. Изначально тестировалось ограничение на количество действий, которые приложение может одновременно размывать или перекрывать, но исследователи нашли обходной путь, сохранивший эффективность атаки. Это первое смягчение оказалось недостаточным. полностью перекрыть дорогу.

Компания объявила о втором патче, запланированном к выпуску в бюллетене безопасности за декабрь 2025 года, для усиления защиты. Одновременно с этим компания продолжила координировать действия с производителями, такими как Samsung, по раскрытию информации и устранению уязвимостей. На момент цитируемых сообщений некоторые отчеты указывали на то, что все еще существуют сценарии эксплуатации. несмотря на первоначальные усилия.

Важно: На момент анализа публикаций не было выявлено реальных случаев эксплуатации уязвимости. Однако авторы подчёркивают, что техническая база надёжна и, если её не устранить, она может быть использована злоумышленниками. Это раннее предупреждение с убедительным доказательством концепции..

Связь с техникой GPU.zip

Работа связана с предыдущими исследованиями побочных каналов графического процессора, в частности, с идеей, известной как GPU.zip. В ней основное внимание уделялось тому, как определённые решения по сжатию или смешиванию влияют на синхронизацию и оставляют измеримые подсказки. Pixnapping переносит этот подход в среду Android, добавляя использование наложений и синхронизацию рендеринга. Общий ключ — преобразование крошечных различий во времени в биты информации..

Это семейство атак не взламывает криптографические ключи и не расшифровывает зашифрованный контент. Его сила заключается в наблюдении за работающей системой и использовании побочных сигналов, не предназначенных для передачи данных. Аппаратное обеспечение непреднамеренно раскрывает особенности обрабатываемого им контента. и при наличии терпения их можно восстановить.

Риск для криптовалют и сид-фраз

В мире криптовалют есть дополнительные причины для бдительности. Фразы восстановления по своей природе отображаются в течение длительного времени, что позволяет спокойно их скопировать. Это даёт злоумышленнику идеальную возможность, если пользователь покажет их на экране. Отображение исходной фразы на уязвимом устройстве Android увеличивает риск утечки данных, даже если это делается локально и без создания снимков экрана.

Sparkkitty
Теме статьи:
SparkKitty: Все о вредоносном ПО, которое крадет фотографии и исходные фразы на вашем телефоне

Эксперты, с которыми мы консультировались, рекомендуют избегать публикации паролей и фраз на повседневных устройствах и по возможности использовать специальные устройства. В частности, они предлагают использовать аппаратные кошельки для хранения ключей и подписи транзакций, не допуская, чтобы закрытый ключ покидал защищённое устройство. Аппаратный кошелек изолирует ключ от операционной системы и предотвращает атаки через экран..

Что вы можете сделать, чтобы защитить себя сегодня?

Хотя окончательный патч появится только после того, как производители его распространят, существуют практические меры, позволяющие снизить риск. Самый эффективный способ — не показывать на экране секреты, которые не обязательно видеть., особенно на мобильных телефонах, на которые устанавливаются сторонние приложения.

  • Избегайте раскрытия фраз-источников и кодов 2FA на вашем Android, когда это возможно или необходимо. пикселизировать изображениеЕсли вам нужно настроить кошелек, сделайте это с помощью аппаратного кошелька или убедитесь, что вы не оставляете фразу видимой дольше, чем это действительно необходимо.
  • Устанавливайте приложения только из проверенных источников и проверяйте их репутацию.. Хотя Pixnapping не требует разрешений, для его использования необходимо установить атакующее приложение.
  • Своевременно обновляйте свое устройствоУстанавливайте системные исправления и обновления безопасности сразу же по мере их появления, поскольку они содержат специальные меры по снижению риска подобных атак.
  • Остерегайтесь приложений, которые требуют, чтобы вы всегда были поверх других, или которые злоупотребляют наложениями.Даже без специального разрешения их поведение может выдать сомнительные намерения.
  • При необходимости используйте альтернативные каналы для 2FA.В средах с высоким уровнем риска рассмотрите возможность использования физических ключей безопасности FIDO2 вместо временных экранных кодов.

Эти методы не заменяют официальные исправления, но они снижают вашу уязвимость до тех пор, пока исправление не станет доступно для вашей конкретной модели. Цифровая гигиена и визуальная осмотрительность — ваши лучшие союзники в краткосрочной перспективе..

Приложения и сервисы, которые, как было доказано, уязвимы для Pixnapping

В рамках проверки концепции были получены коды Google Authenticator и информация из приложений, известных своей безопасностью. К таким приложениям относятся Signal, Venmo, Gmail и Google Maps. Общим знаменателем является то, что они отображают на экране информацию, которую пользователь считает конфиденциальной., даже если нет API, который передает эти данные третьим лицам.

Эта технология не ограничивается браузером и не зависит от уязвимостей веб-представлений. Это объясняет, почему потенциальное воздействие распространяется как на нативные приложения, так и на веб-сайты, отображаемые в приложениях. Вектор — это графическая структура системы, а не сетевой уровень или хранилище..

Подтвержденные модели и потенциальный ассортимент

Устройства, на которых были воспроизведены атаки, включают Google Pixel 6, Pixel 7, Pixel 8, Pixel 9 и семейство Samsung Galaxy S25, включая Android 13 и 16Исследователи отмечают, что базовый механизм присутствует во многих моделях Android. Хотя не все случаи были протестированы, есть достаточно доказательств, позволяющих предположить их широкое распространение., за пределами двух конкретных брендов.

Стоит отметить, что отсутствие в списке тестов не гарантирует безопасность. Всё зависит от того, как каждая комбинация графического процессора, драйверов и оконного компоновщика обрабатывает наложения и синхронизацию. Скоординированные исправления ошибок между Google и производителями будут иметь решающее значение для устранения разрыва. на наибольшем количестве устройств.

Технические детали, которые имеют значение

В описаниях повторяются два технических элемента: полупрозрачные наложения, управляемые атакующим приложением, и тонкая синхронизация с циклом рендеринга системы. Вместе они позволяют измерять едва заметные временные изменения, когда определённый пиксель или область доминирует в кадре. Это доминирование приводит к тому, что базовый цвет, более светлый или более темный, отражается на стоимости композиции..

В некоторых анализах упоминается использование API размытия окон и обратных вызовов синхронизации кадров, таких как VSync. Пользователю не обязательно замечать что-либо необычное на экране, поскольку атака может быть замаскирована, пока целевой контент виден. Нет никаких навязчивых баннеров или подозрительных запросов на разрешение, выдающих активность..

Состояние эксплуатации и серьезность

На сегодняшний день нет никаких доказательств широкого использования уязвимости в реальных условиях. Авторы открытия сотрудничали с Google и Samsung для координации действий по раскрытию информации и устранению последствий, а Google присвоила проблеме высокий уровень серьёзности и предложила вознаграждение за её обнаружение. Тот факт, что в природе не было зафиксировано ни одного случая заболевания, не умаляет актуальности исправления., поскольку публичные испытания показывают жизнеспособный путь.

Первое предложение по снижению риска ограничивало количество действий, которые приложение могло одновременно расфокусировать, но был найден обходной путь, сохранивший работоспособность атаки. Поэтому был анонсирован второй патч, запланированный на декабрь 2025 года. Между тем, поверхность риска сохраняется до тех пор, пока существуют постройки без этой усиленной защиты..

Часто задаваемые вопросы о пикснепинге

С помощью пикснепа можно украсть секреты, которые не появляются на экране. Нет. Для этого требуется, чтобы содержимое было видно, пусть даже ненадолго. Если ключ не отображается, злоумышленник не сможет его восстановить.

Атакующему приложению необходимо предоставить опасные разрешения. Нет. Это критический момент. Он использует стандартные API и оверлеи, не запрашивая дополнительных разрешений, что делает его более скрытным.

Работает только с браузерными приложениями Нет. По словам исследователей, атака обходит средства защиты браузера и затрагивает приложения, не работающие в браузере, при условии, что они выводят на экран конфиденциальную информацию.

Единственными затронутыми устройствами являются Pixel и Galaxy S25. Это модели, на которых были продемонстрированы атаки. Однако эти механизмы широко распространены в современных Android-устройствах, и последствия могут быть более масштабными.

Патчи уже исправили это на 100% Первоначальные меры по смягчению последствий оказались недостаточными. Усиленный патч запланирован на декабрь 2025 года для перекрытия оставшегося пути.

Рекомендации по использованию 2FA и конфиденциальных сервисов

Если вы работаете с критически важными учётными записями, рассмотрите возможность диверсификации методов аутентификации. Физические ключи безопасности FIDO2 — очень надёжный вариант, поскольку они не отображают коды на экране. Для 2FA на основе временных кодов уменьшите окно видимости и не держите их на переднем плане дольше, чем необходимо.

В криптоэкосистеме отдавайте приоритет специализированным устройствам. Аппаратные кошельки подписывают транзакции изолированно и отображают данные на собственном защищённом экране. Таким образом вы не дадите уязвимому мобильному телефону сделать выводы, которые ему не следует делать. во время настройки или повседневного использования.

Слежка за пикснепом напоминает нам, что утечку информации может осуществлять не только программное обеспечение; само поведение оборудования также оставляет измеримые сигналы. Исследования показывают, что нелицензированное приложение может за считанные секунды получить коды 2FA и извлечь данные из популярных приложений, таких как Signal, Gmail или Venmo, на современных устройствах Android, включая Google Pixel 6–9 и Samsung Galaxy S25 под управлением Android 13–16. Учитывая, что уязвимость CVE-2025-48561 уже была назначена, Google опубликовала первоначальное решение, которое оказалось недостаточным, и объявила о дополнительном патче на декабрь 2025 года, хотя сообщений о массовой эксплуатации уязвимости в реальных условиях не поступало. Пока патчи не выйдут на все модели, рекомендуется уменьшить визуальную доступность секретов, устанавливать только доверенные приложения, регулярно обновлять систему и для криптографических и других критически важных операций использовать специальное оборудование, которое защитит ключи от взлома Pixel.

Вредоносное ПО для Android крадет данные через NFC-0
Теме статьи:
SuperCard X и NGate: как самая сложная вредоносная программа для Android крадет банковские данные с помощью атак NFC

Лучшая защита сейчас — внимательно относиться к тому, что мы отображаем на экране, и применять обновления сразу же по мере их появления. Поделитесь этой информацией, чтобы больше людей узнали о Pixnapping.