Android uređaji su ranjivi na novu vrstu napada u okviru kojih se kradu 2FA kodovi, informacije o lokacijama i drugi privatni podaci. Sve se dešava za manje od 30 sekundi.

Novi tip napada, koji je dobio ime Pixnapping, zahteva da žrtva prvo instalira malicioznu aplikaciju na Android telefon ili tablet. Ta aplikacija – koja ne traži nikakve sistemske dozvole – može zatim efikasno da „pročita“ podatke koje bilo koja druga instalirana aplikacija prikazuje na ekranu.

Pixnapping je stvoren za Google Pixel telefone i Samsung Galaxy S25, a verovatno bi mogao da se modifikuje da radi i na drugim modelima. Google je prošlog meseca objavio zakrpu, ali istraživači kažu da modifikovana verzija napada funkcioniše i kada je zakrpa instalirana.

„Sve što je vidljivo kada je ciljna aplikacija otvorena može biti ukradeno od strane maliciozne aplikacije uz pomoć Pixnapping,“ napisali su istraživači na informativnoj web-stranici. „Poruke u četu, 2FA kodovi, mejlovi, i tako dalje, su ranjivi jer su vidljivi. Ako aplikacija poseduje tajne koje nisu vidljive (recimo ima tajni ključ koji je sačuvan, ali se nikada ne prikazuje na ekranu), te informacije Pixnapping ne može da ukrade“.

Ova nova vrsta napada podseća na GPU.zip napad iz 2023. koji je omogućavao zlonamernim web-stranicama da čitaju korisnička imena, lozinke i druge osetljive vizuelne podatke prikazane na ekranima. GPU.zip je koristio sporedne kanale u GPU-ovima svih većih proizvođača. Ranjivosti koje je GPU.zip koristio nikada nisu potpuno ispravljene, umesto toga, napad je u pregledačima blokiran ograničavanjem mogućnosti da se otvaraju iframe-ovi – HTML elementi koji omogućavaju nekoj web-stranici (u slučaju GPU.zip malicioznoj) da ugradi sadržaj sajta iz drugog domena.