На Android нашли утечку через экран — смартфоны научились «выдавать» свои коды сами

Американские исследователи случайно наткнулись на уязвимость, которая заставила специалистов по безопасности всерьёз напрячься. В системе Android обнаружен способ, позволяющий посторонним буквально «считать» экран смартфона — пиксель за пикселем. Трюк получил имя Pixnapping, и хотя скорость «подглядывания» мизерная, этого достаточно, чтобы перехватить короткие коды подтверждения из SMS или мессенджеров.

Суть метода проста и коварна — хакер не ломает систему напрямую, а отслеживает микроскопические задержки при отрисовке изображения. По этим отклонениям программа восстанавливает части картинки и постепенно собирает нужные символы. Уязвимость проявилась в Android 13-16 и была подтверждена на смартфонах Google Pixel и некоторых моделях Samsung. Исследование провели специалисты из университетов Беркли, Вашингтона, Сан-Диего и Карнеги-Меллона.

По их словам, такая атака возможна даже при ограниченном доступе к устройству — достаточно установить вредоносное приложение, использующее скрытый канал передачи данных. Компания Google признала наличие проблемы и уже закрыла часть уязвимости в сентябрьском обновлении. Окончательная защита должна появиться в декабре вместе с очередным пакетом патчей безопасности.

Эксперты советуют пользователям не откладывать обновления, использовать генераторы одноразовых паролей вместо SMS и проверять, какие программы имеют разрешение на отображение поверх других окон. «Pixnapping» стал ещё одним напоминанием: иногда система уязвима не из-за человека, а из-за того, как работает само «железо».

Источник: https://lenta.ru/news