Ερευνητές παρουσίασαν την «Pixnapping», μια τεχνική που επιτρέπει σε κακόβουλες εφαρμογές να αποσπούν ευαίσθητα δεδομένα απευθείας από την οθόνη συσκευών Android—από κωδικούς δύο παραγόντων έως μηνύματα και ιστορικό τοποθεσίας. Η επίθεση αξιοποιεί συνδυασμό API του Android και ένα χρονικό πλευρικό κανάλι (timing side-channel) που συνδέεται με συμπίεση γραφικών στην GPU («GPU.zip»), ώστε να ανακτά την τιμή μεμονωμένων εικονοστοιχείων άλλων εφαρμογών. Σε δοκιμές, οι ερευνητές ανέγνωσαν κωδικούς του Google Authenticator σε λιγότερο από 30 δευτερόλεπτα, χωρίς δικαιώματα πρόσβασης από τον χρήστη.
Το σενάριο λειτουργεί σε σύγχρονες συσκευές με Android 13–16. Μια κακόβουλη εφαρμογή μπορεί να ανοίγει άλλες εφαρμογές-στόχους μέσω intents (εντολών αλληλεπίδρασης) και να τοποθετεί πάνω τους ημιδιαφανείς δραστηριότητες με εφέ θόλωσης (blur). Μετρώντας μικρές καθυστερήσεις κατά την εφαρμογή του θολώματος (blur)—οι οποίες εξαρτώνται από το χρώμα κάθε εικονοστοιχείου—η εφαρμογή συμπεραίνει το περιεχόμενο που προβάλλεται από τα «κάτω» παράθυρα (π.χ. Google Accounts, Gmail, Signal, Venmo, Google Maps, Google Messages, Google Authenticator). Εντυπωσιακό είναι ότι το αποδεικτικό πρωτότυπο (proof-of-concept) λειτουργεί χωρίς να δηλώνει καμία άδεια στο manifest.
Η Google έχει αποδώσει το ζήτημα ως ευπάθεια ασφαλείας και ενσωμάτωσε αλλαγές στη σειρά ενημερώσεων ασφαλείας του Σεπτεμβρίου. Καθώς οι ερευνητές εντόπισαν εφικτό τρόπο παράκαμψης (workaround), προγραμματίζεται πρόσθετη διόρθωση για την ενημέρωση Δεκεμβρίου. Μέχρι στιγμής δεν υπάρχουν ενδείξεις ενεργής εκμετάλλευσης στην πράξη.
Στο χρονικό των εξελίξεων, η δημοσιοποίηση έγινε στα μέσα Οκτωβρίου, με τα τεχνικά μέσα να αναδεικνύουν τόσο το υπόβαθρο της επίθεσης όσο και τις συνέπειες για εφαρμογές πιστοποίησης και ανταλλαγής μηνυμάτων. Το κρίσιμο σημείο: η Pixnapping δεν παραβιάζει το ίδιο το πρωτόκολλο πιστοποίησης δύο παραγόντων· υποκλέπτει ό,τι εμφανίζεται στην οθόνη.
Τι να κάνουν οι χρήστες έως το πλήρες patch: να διατηρούν ενεργό το Play Protect, να αποφεύγουν εγκαταστάσεις από άγνωστες πηγές και να εφαρμόζουν άμεσα τις διαθέσιμες ενημερώσεις ασφαλείας (Σεπτεμβρίου, Οκτωβρίου και, όταν διατεθεί, Δεκεμβρίου). Για κρίσιμους λογαριασμούς, όπου είναι εφικτό, να προτιμώνται ισχυρότεροι άλλοι παράγοντες ταυτοποίησης που δεν εμφανίζουν μυστικά στην οθόνη, όπως passkeys ή υλικά κλειδιά ασφαλείας (FIDO security keys).
Recommended Comments
There are no comments to display.
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now