Обнаружена уязвимость Pixnapping в операционной системе Android

Исследователи выявили уязвимость в операционной системе Android, получившую название «Pixnapping». Уязвимость позволяет получать данные, отображаемые на экране устройства, включая коды двухфакторной аутентификации и пароли.

Android используется более чем на трёх миллиардах устройств по всему миру. Уязвимость была обнаружена межуниверситетской исследовательской группой и описана изданием Ars Technica.

Механизм атаки основан на анализе цвета отдельных пикселей, отображаемых на экране. Для её реализации требуется установка приложения, не запрашивающего разрешений от пользователя. Такое приложение использует публичный интерфейс программирования Android для создания невидимого слоя поверх других приложений и считывает цвет каждого пикселя в заданной области экрана. На основе этих данных возможно воссоздать изображение, например, цифровой код, отображаемый в момент входа в аккаунт.

Название «Pixnapping» образовано от слов «pixel» (пиксель) и «kidnapping» (похищение).

Google выпустила частичное исправление в сентябре 2024 года и анонсировала дополнительный патч, запланированный на декабрь. В компании заявили, что случаев эксплуатации уязвимости в реальных условиях пока не зафиксировано.

Источник: frandroid