Android este vizat acum de un nou pericol care ar trebui sa puna in garda milioane de oameni din intreaga lume, cu denumirea Pixnapping, ridicand miza in securitatea autentificarii cu doi factori. Conform unei colaborari intre cercetatori de la Universitatea din California, Berkeley, Universitatea din Washington, Universitatea din California, San Diego si Universitatea Carnegie Mellon, anumite smartphone-uri Google Pixel si Samsung Galaxy pot fi compromise printr-o tehnica ce „inghite” coduri 2FA in mai puțin de 30 de secunde.
Chiar daca testele au vizat aceste modele, cercetatorii avertizeaza ca mecanismele de baza care fac posibil atacul sunt, de regula, disponibile pe toate dispozitivele Android, ceea ce extinde potentialul impact la scara intregului ecosistem.
Cum functioneaza atacul: o capturare invizibila a pixelilor
Pixnapping induce operatiuni grafice asupra pixelilor sensibili randati de aplicatia tinta si ii extrage printr-un canal lateral. In termeni simpli, efectul este comparabil cu o captura de ecran care nu are nevoie, in fapt, sa fie realizata. Atacul se concentreaza pe zona ecranului unde aplicatii precum Google Authenticator afiseaza codurile 2FA si recupereaza, metodic, pixelii necesari pentru a reconstrui imaginea completa a codului.
Potrivit autorilor alertei – Christopher Fletcher, Pranav Gopalkrishnan, David Kohlbrenner, Riccardo Paccagnella, Hovav Shacham, Alan Wang si Yingchen Wang – intregul proces se poate derula in aproximativ 30 de secunde, suficient pentru a prinde un cod valabil in fereastra temporala scurta in care acesta este acceptat.
Orice aplicatie Android poate declansa atacul
Cea mai ingrijoratoare concluzie a cercetatorilor este ca un atac Pixnapping poate fi lansat de orice aplicatie Android care ruleaza, chiar si fara permisiuni Android. Aceasta inseamna ca barierele traditionale de permisiuni nu reprezinta neaparat o protectie.
Tot ce este vizibil pe ecranul telefonului devine, teoretic, tintit: nu doar codurile de autentificare, ci si continut din conversatii de chat sau fragmente de e-mail. Partea buna este ca informatiile secrete care nu sunt afisate nu pot fi extrase prin aceasta tehnica, iar un alt element limitativ esential este ca atacul necesita instalarea prealabila a unei aplicatii rau intentionate.
Reactia Google si orizontul patch-urilor Android
Un purtator de cuvant al Google a precizat ca nu exista, pana acum, cazuri observate de exploatare a Pixnapping in mediul real. Totusi, compania a confirmat ca patch-ul de securitate Android din septembrie pentru CVE-2025-48561 atenueaza partial impactul.
Google a anuntat, de asemenea, un patch suplimentar programat pentru buletinul de securitate Android din decembrie, menit sa acopere mai complet vulnerabilitatea evidentiata de cercetatori. Cu alte cuvinte, utilizatorii de Android vor vedea un raspuns etapizat: o atenuare initiala deja livrata si o remediere aditionala promisa pentru decembrie.
Ce inseamna pentru ecosistemul Android acum
Pentru comunitatea Android, Pixnapping pune reflectorul pe zona fragila a interactiunii dintre randarea grafica si izolarea aplicatiilor. Chiar daca demonstratia a vizat telefoane Pixel si Samsung Galaxy, principiile tehnice descrise sugereaza o suprafata de atac mai larga in Android.
Faptul ca elementele neafisate raman in afara razei de actiune limiteaza pericolul, iar necesitatea instalarii unei aplicatii rau intentionate ridica pragul de intrare pentru atacatori. Totusi, abilitatea de a extrage pixeli utili dintr-o aplicatie sensibila, fara permisiuni si in intervale de timp extrem de scurte, ramane o provocare serioasa.
In asteptarea patch-ului din decembrie, dezvaluirea studiului si raspunsul partial din septembrie marcheaza un moment critic pentru securitatea Android si pentru modul in care platforma va gestiona, pe termen mediu, amenintarile de tip canal lateral.
