Фахівці з кібербезпеки повідомили про появу нової загрози для Android-пристроїв — атаки Pixnapping, здатної майже непомітно для користувача зчитувати з екрана смартфона конфіденційні дані. Йдеться не лише про коди двофакторної автентифікації (2FA), а й про особисті повідомлення, електронні листи, історію місцеперебувань та іншу чутливу інформацію.
Найнебезпечніше те, що для реалізації атаки не потрібні спеціальні дозволи системи: достатньо, щоб користувач самостійно встановив шкідливий застосунок, який на перший погляд може виглядати цілком безпечним. Про нову техніку шпигування повідомило видання Ars Technica.
Pixnapping базується на використанні побічного каналу GPU, схожого на принцип відомої вразливості GPU.zip. Зловмисники отримують доступ до інформації, вимірюючи, скільки часу графічний процесор витрачає на відтворення окремих пікселів екрана. Ці часові затримки дозволяють поетапно «відновити» зображення, яке в цей момент показується іншому застосунку. Інакше кажучи, Pixnapping дає змогу робити віртуальні скріншоти екрана — без жодного сповіщення або згоди користувача.
Під час тестування дослідники продемонстрували експлойт на кількох моделях смартфонів — Google Pixel і Samsung Galaxy S25. У лабораторних умовах їм вдалося зчитати шестизначні коди автентифікатора Google Authenticator у більшості випадків. Зокрема, точність становила 73% на Pixel 6, 53% — на Pixel 7, 29% — на Pixel 8 і 53% — на Pixel 9. При цьому час відновлення коду займав лише 14–26 секунд, що менше за стандартний період дії одноразового пароля (30 секунд).
У звіті зазначається:
«Будь-що, що відображається на екрані, може бути викрадено за допомогою Pixnapping — від повідомлень і 2FA-кодів до електронних листів та історії браузера».
Компанія Google уже відреагувала на проблему: часткове виправлення було включено до вересневого бюлетеня безпеки (CVE-2025-48561), а повноцінний патч планують випустити в грудні 2025 року. Водночас представники Google підкреслили, що немає доказів активного використання цієї вразливості у реальних атаках.
Однак дослідники не поділяють оптимізму: навіть після оновлення система може залишатися частково вразливою, якщо шкідливе програмне забезпечення буде модифіковане. На їхню думку, Pixnapping демонструє структурні недоліки безпеки Android, зокрема хибне припущення, що програми не можуть отримати доступ до екранів одна одної.
Експерти радять користувачам дотримуватись базових заходів кібергігієни — не встановлювати застосунки з невідомих джерел, уникати підозрілих програм навіть у Google Play, регулярно оновлювати систему безпеки та відстежувати активність додатків, яким надано розширені дозволи.
Читайте також: Вразливість у Deep Research дала можливість витягати дані з Gmail через ChatGPТ.