Istraživači upozoravaju na bezbjednosni propust koji omogućava aplikacijama da “vide” šta se prikazuje na ekranu, čak i bez posebnih dozvola.
Istraživači sa Univerziteta u Kaliforniji, Vašingtonu i Karnegi Melonu otkrili su novu ranjivost u Android sistemu koja omogućava aplikacijama da potajno prikupljaju podatke sa ekrana korisnika, uključujući i jednokratne kodove za dvostepenu autentifikaciju (2FA). Napad je nazvan Pixnapping, a za sada ne postoji zvanična zakrpa.
Prema njihovom izvještaju, zlonamjerna aplikacija može da koristi specifične grafičke (GPU) i sistemske procese kako bi uhvatila pojedinačne piksele drugih aplikacija i iz njih rekonstruisala tekst, slike, pa čak i kodove za prijavu. Napad funkcioniše bez traženja dodatnih dozvola, što ga čini posebno opasnim.
U testovima, istraživači su uspjeli da izvuku podatke iz popularnih aplikacija kao što su Gmail, Gugl Autentikator, Signal i Gugl Mape, i to na više različitih Android uređaja.
Gugl i proizvođači telefona su obaviješteni o otkriću, ali do sada nije objavljeno rješenje koje bi u potpunosti spriječilo napad. Problem, kažu istraživači, leži u kombinaciji načina na koji Android obrađuje prikaz piksela i u hardverskoj kompresiji grafike.
Šta korisnici mogu da urade
Instalirajte aplikacije samo iz provjerenih izvora (Gugl Plej).
Uklonite sumnjive aplikacije koje ste nedavno instalirali.
Koristite hardverske bezbjednosne ključeve ili passkey umjesto klasičnih 2FA kodova gdje je to moguće.
Pratite bezbjednosna ažuriranja proizvođača telefona i Gugla.
Istraživači su detalje napada i tehnički izvještaj objavili javno kako bi proizvođači mogli da razviju zaštitu, ali upozoravaju da će “Pixnapping” vjerovatno biti instrument zlonamjernih aktera dok zakrpa ne postane dostupna