Нова атака Pixnapping дозволяє викрасти 2FA-коди та повідомлення з екранів Android-смартфонів

Дослідники викрили нову загрозу для Android-пристроїв – атаку Pixnapping, яка дає змогу зловмисникам зчитувати з екрана конфіденційні дані, включно з кодами двофакторної автентифікації (2FA), приватними чатами та навіть історією геолокацій. Для цього достатньо, щоб користувач установив шкідливий застосунок, який не потребує жодних системних дозволів, повідомляє Ars Technica.

Pixnapping працює, використовуючи побічний канал, схожий на відомий механізм вразливості GPU.zip, і аналізує, скільки часу графічний процесор витрачає на відтворення окремих пікселів на екрані. Таким чином шкідливий застосунок може поступово "відтворити" зображення, яке показує інша програма, фактично роблячи скріншот без дозволу користувача.

Дослідники продемонстрували експлойт на смартфонах Google Pixel і Galaxy S25. Зокрема, в експериментах їм вдалося відновити 6-значні коди Google Authenticator у 73% випадків на Pixel 6, 53% – на Pixel 7, 29% – на Pixel 8 і 53% – на Pixel 9. Середній час отримання коду становив від 14 до 26 секунд, тобто менше за стандартний 30-секундний інтервал дії одноразових паролів.

"Усе, що видно на екрані цільового застосунку, може бути вкрадено за допомогою Pixnapping: повідомлення, 2FA-коди, електронні листи тощо" – йдеться у звіті дослідників.

Google випустила часткове виправлення у вересневому бюлетені безпеки (CVE-2025-48561) і планує додатковий патч у грудні. Компанія запевнила, що немає доказів використання атаки у реальних умовах, але дослідники повідомили, що модифіковані версії Pixnapping все ще можуть працювати після оновлення.

Фахівці наголошують, що попри складність і технічну вимогливість атаки, вона демонструє слабкі місця системи безпеки Android, зокрема припущення, що одна програма не може отримати доступ до даних іншої.

Експерти радять користувачам завантажувати застосунки лише з офіційного магазину Google Play, своєчасно встановлювати оновлення безпеки та уважно ставитися до підозрілих програм.