Luka w Androidzie. Złośliwa aplikacja może wykraść kody 2FA

Smartfony z Androidem od Google i Samsunga okazały się podatne na atak umożliwiający potajemną kradzież kodów 2FA, ale nie tylko, bo także historii lokalizacji z Map Google oraz innych poufnych informacji bez wiedzy użytkownika - zwraca uwagę The Hacker News.

Za badaniem luki Pixnapping stoi grupa naukowców z trzech uniwersytetów. Pixnapping pozwala na "wykradanie pojedynczych pikseli" z ekranu Androida, omijając istniejące zabezpieczenia przeglądarek i umożliwiając pobieranie danych nawet z niezależnych aplikacji, np. Google Authenticator, poprzez wykorzystanie interfejsów API systemu Android oraz ataku bocznego kanału sprzętowego.

Pixnapping bazuje na pomyśle, by za pośrednictwem złośliwej aplikacji wprowadzić piksele z aplikacji ofiary do procesu renderowania Androida. Naukowcy wyjaśniają: "Kluczową obserwacją jest, że implementacja API Androida umożliwia tworzenie ataków podobnych do znanych ataków przeglądarkowych, również poza środowiskiem przeglądarki".

Narzędzie wykorzystuje mechanizmy i aktywności Androida do nakładania warstw i wyciągania pożądanych pikseli. Sprawdzano pod tym kątem pięć modeli od Google i Samsunga z systemami Android 13–16; nie wiadomo jeszcze, czy inne marki są równie podatne, jednak badacze podkreślają, że użyta metoda co do zasady powinna działać w każdym urządzeniu z Androidem.

Co istotne, atak można przeprowadzić z poziomu dowolnej aplikacji, niezależnie od jej uprawnień. Warunkiem jest, by użytkownik zainstalował i uruchomił spreparowaną aplikację, co jest kolejnym dowodem na to, że bezpieczeństwo cyfrowe zaczyna się od odpowiedzialnego korzystania z urządzenia i właściwych nawyków.

Pixnapping wykorzystuje kanał boczny określony jako GPU.zip, wykryty przez część tych samych badaczy we wrześniu 2023 r. Atak bazuje na właściwościach kompresji zintegrowanych układów GPU, co umożliwia przeprowadzanie ataków polegających na odczycie pikseli przez filtr SVG w przeglądarce.

Najświeższy wariant Pixnapping łączy tę technikę z window blur API dla Androida, dzięki czemu można wyciągać dane renderowane przez aplikację ofiary, w tym kody 2FA. Złośliwa aplikacja wywołuje aplikację z cennymi danymi, identyfikuje współrzędne pikseli, przechwytuje je i przesyła przez kanał boczny. Proces powtarza się dla wszystkich pikseli. Zespół podkreśla, że Android jest podatny na Pixnapping przez splot trzech czynników umożliwiających atak.

Google śledzi lukę pod identyfikatorem CVE-2025-48561 (CVSS: 5,5). Poprawka została wydana we wrześniu 2025 r., a firma zapowiedziała kolejną – bardziej kompleksową – na grudzień 2025 r. To z kolei przypomina o jednej z podstawowych zasad dbania o bezpieczeństwo swoich urządzeń: bieżącym instalowaniu poprawek bezpieczeństwa.

Co ciekawe, badacze ujawnili przy okazji, że atak pozwala również wykryć, czy dowolna aplikacja znajduje się na urządzeniu, omijając restrykcje wprowadzone od Androida 11. Ten problem pozostaje niezałatany i został przez Google oznaczony jako "won't fix".

Google podkreśliło, że do tej pory nie wykryto prób wykorzystania luki w Google Play, a skuteczny atak wymaga szczegółowej wiedzy o docelowym urządzeniu.