Исследователи показали атаку Pixnapping на Android для захвата данных приложений

Исследователи безопасности смогли воспроизвести 12-летнюю атаку кражи данных через веб-браузеры, но для Android. Атака Pixnapping позволяет красть конфиденциальные данные приложений, в том числе коды двухфакторной аутентификации.

Pixnapping использует API Android и аппаратный сторонний канал, затрагивающий практически все современные устройства с этой ОС. По сути, это эквивалентно возможности вредоносного приложения Android делать снимки экрана других приложений или веб-сайтов. Атака позволяет вредоносному приложению Android получать доступ к информации, отображаемой в других приложениях Android или на веб-сайтах. Например, оно может красть данные, отображаемые в таких сервисах, как Google Maps, Signal и Venmo, а также на Gmail. Наконец, приложение может извлекать коды двухфакторной аутентификации из Google Authenticator.

«Сначала вредоносное приложение открывает целевое (например, Google Authenticator), отправляя свои пиксели для рендеринга», — пояснил Алан Ван, аспирант Калифорнийского университета в Беркли. Затем оно выбирает координаты целевого пикселя, цвет которого нужно украсть. Наконец, вредонос выполняет графические операции, время отрисовки которых больше, если цвет пикселя не белый. Приложение делает это, открывая окна перед целевым приложением. В ходе этого процесса оно измеряет время отрисовки каждого пикселя, чтобы определить его цвет и впоследствии восстановить картинку. Pixnapping использует сторонний канал GPU.zip для утечки пикселей.

Так, атака на Google Authenticator позволила украсть коды 2FA менее чем за 30 секунд, скрывая действия от пользователя.

Исследователи продемонстрировали работу Pixnapping на пяти устройствах под управлением Android версий с 13 по 16 (до идентификатора сборки BP3A.250905.014):