A támadók, egy új, Pixnapping nevű támadási módszerrel a Google és a Samsung telefonokat veszik célba. A Pixnapping elindításához a támadónak rá kell vennie a felhasználót, hogy telepítsen egy rosszindulatú alkalmazást az Androidos készülékére. A támadáshoz a rosszindulatú alkalmazásnak nincs szüksége külön Android-engedélyekre. A Carnegie Mellon Egyetem kutatócsoportja által azonosított módszer lehetővé teszi, hogy ilyen alkalmazások érzékeny adatokat lopjanak Android-eszközökről.
A kutatók szerint a támadás úgy kezdődik, hogy a rosszindulatú alkalmazás meghívja azt az alkalmazást, amelyből az adatokat ki akarja nyerni. Ezután grafikus műveleteket indít a célalkalmazás bizonyos pixelein. Ezek valójában a képernyőnek olyan területei, ahol jellemzően megjelennek érzékeny adatok. A korábban (2023-ban) nyilvánosságra hozott, GPU-oldalcsatornás támadást (GPU[.]zip) ezután pixelenként arra használják, hogy a célzott pixelek állapotából információt szerezzenek. Ezek a műveletek a háttérben zajlanak, miközben a felhasználó a rosszindulatú alkalmazást használja.
A kutatók sikeresen reprodukálták a támadást Pixel és a Samsung telefonokon, és arra a megállapításra jutottak, hogy más gyártók készülékei is sebezhetők lehetnek. Tesztjeik során sikerült érzékeny adatokat visszanyerni olyan weboldalakról, mint a Gmail és a Google-fiókok, valamint olyan alkalmazásokból, mint a Venmo, a Signal, a Google Authenticator és a Google Térkép.
A Pixnapping alkalmas lehet érzékeny adatok, például 2FA-kódok, e-mailek és csevegőüzenetek ellopására, de csak a képernyőn megjelenő információk sérülékenyek.
Számos teszt a Google Authenticator alkalmazást célozta meg. A kutatók 30 másodpercen belül tudták ellopni az Authenticatorban megjelenő 2FA-kódokat (a sebesség fontos, mert ezek a kódok 30 másodperc után lejárnak). A Google Authenticator jó célpont, mert a kódok elhelyezkedése a képernyőn általában kiszámítható, így pixelről pixelre visszaállítható.
A Google a szeptemberi Android-frissítésekkel együtt kiadott egy javítást a sebezhetőségre, ám mivel a kutatóknak részben sikerült megkerülniük azt, a vállalat egy újabb frissítésen dolgozik, amely várhatóan decemberben válik elérhetővé.
A Google azt nyilatkozta a SecurityWeek-nek, hogy nem talált bizonyítékot a sebezhetőség kihasználására. A cég azt is megjegyezte, hogy a jelenlegi észlelései alapján nem találtak a Google Playen olyan rosszindulatú alkalmazásokat, amelyek kihasználnák ezt a sebezhetőséget.