Хакеры с помощью новой атаки на Android могут воровать коды двухфакторной аутентификации с экрана устройства без разрешений

Исследователи из американского университета представили новую технику атаки на Android, получившую название Pixnapping. Она основана на методах побочной визуальной утечки и позволяет вредоносному приложению без каких-либо разрешений извлекать конфиденциальную информацию, отображаемую другими приложениями или сайтами, буквально по пикселям. Среди потенциальных целей — коды двухфакторной аутентификации (2FA) из Google Authenticator, личные переписки в мессенджерах вроде Signal и электронная почта в Gmail.

Атака демонстрирует, как уязвимость в системе визуального вывода Android может быть использована для кражи данных с экрана без непосредственного доступа к ним. Pixnapping успешно работает даже на полностью обновлённых и пропатченных Android-устройствах. Экспериментально подтверждено, что извлечение кодов 2FA занимает менее 30 секунд.

По информации исследовательской группы, Google уже попыталась устранить уязвимость, зарегистрированную под номером CVE-2025-48561, в сентябрьском обновлении безопасности. Однако учёным удалось обойти внедрённую защиту. Эффективное исправление, как сообщается, будет доступно только в декабрьском патче Android 2025 года.

Механизм атаки задействует стандартную архитектуру Android. Вредоносное приложение, не запрашивая разрешений, инициирует запуск целевого окна — приложения или сайта — через систему намерений.

Далее содержимое окна передаётся в SurfaceFlinger — системный процесс, отвечающий за отображение и компоновку графических элементов. В этот момент и происходит утечка данных.

Хакеры используют приём, названный «маскирующей активностью». Она помещается поверх целевого окна и визуально представляет собой сплошное белое поле, где один единственный пиксель остаётся прозрачным — в точке, где отображается часть нужной информации, например, цифра кода. Через этот пиксель и осуществляется поочерёдное наблюдение за всеми символами.

SurfaceFlinger, по задумке исследователей, играет на руку злоумышленнику: из-за способа реализации размытия он растягивает изображение, усиливая эффект одного пикселя. После этого изображение проходит через систему распознавания символов (OCR), что позволяет извлечь нужные данные.

Чтобы осуществить утечку, команда использовала побочную GPU-атаку GPU.zip, ранее применявшуюся в исследованиях по визуальной компрометации. Она эксплуатирует методы сжатия графических данных в графических процессорах Android, утягивая изображения с низкой, но достаточной скоростью — от 0,6 до 2,1 пикселя в секунду.

Даже при такой пропускной способности Pixnapping позволяет полностью считать шестизначный код 2FA или иной критически важный визуальный элемент за полминуты. Этот показатель делает технику вполне применимой для реальных атак, особенно в сценариях, когда пользователь взаимодействует с целевым приложением на фоне активной вредоносной активности.