Kiberdrošības pētnieki ir atklājuši jauna veida uzbrukumus, kas ietekmē Android ierīces, un viņi saka, ka tas ļauj hakeriem dažu sekunžu laikā iegūt jūsu privātos datus.
Tas ietver jūsu privātās tērzēšanas, īsziņas, e-pastus un pat divu faktoru autentifikācijas (2FA) kodus, kā ARS Technica paziņotais.
Uzbrukumu, kuru sauktu par “pixnapping”, ko atklāja pētnieku komanda, var izmantot, lai iegūtu informāciju no visiem ekrānā redzamajiem datiem. Pirmkārt, upurim ir jālejupielādē ļaunprātīga lietotne. Kad lietotne ir instalēta, var notikt pixnapping uzbrukums, ja upuris nenodrošina turpmākas ierīces atļaujas.
“Visu, kas ir redzams, kad tiek atvērta mērķa lietotne, var nozagt ļaunprātīga lietotne, izmantojot pixnapping,” lasāms Ziņojums Pixnapping vietnēresurss, ko pētnieki izveidojuši, lai dalītos ar informāciju par uzbrukumu. “Tērzēšanas ziņojumi, 2FA kodi, e -pasta ziņojumi utt. Ir visi neaizsargāti, jo tie ir redzami.”
Saskaņā ar Pixnapping tīmekļa vietni, ievainojamība ir sīki aprakstīta jaunā pētniecības dokumentā, kas ir daļa no septiņu pētnieku sadarbības Kalifornijas universitātē, Bērklijā, Vašingtonas Universitātē, Kalifornijas universitātē, Sandjego un Kārnegi Mellona universitātē. Izšķirt papīra priekšnojautasar nosaukumu “Pixnapping: Pixel zagšanas izvešana no akmens laikmeta” ir pieejama tiešsaistē un šonedēļ tiks publicēta 32. ACM konferencē par datoru un komunikāciju drošību Taivānā.
Mashable gaismas ātrums
Informāciju, ko nevar parādīt Android ierīces ekrānā, piemēram, slepenu atslēgu, kas ir aizēnota, piemēram, ar zvaigznītēm, hakeri nevar nozagt piksnapējošā uzbrukumā. Tas notiek tāpēc, ka uzbrukums ir veiktsApvidū
Kad upuris instalē ļaunprātīgu lietotni, tas ieročo Android API, lai mērķētu uz citām lietotnēm ar piekļuvi sensitīviem datiem. Pēc tam lietotne piekļūst ekrānā parādītajiem pikseļiem, izmantojot neparedzētu datu noplūdi, kas pazīstama arī kā aparatūras sānu kanāls. Ļaunprātīgā lietotne izstumj šos atsevišķos pikseļus caur renderēšanas cauruļvadu, kur pēc tam veic piksnapējošo uzbrukumu. Tas turpinās, līdz var notikt optiskā rakstzīmju atpazīšana jeb OCR, kas nozīmē, ka lietotne var iegūt tekstu no vizuālajiem attēliem.
Faktiski var nozagt jebkuru informāciju, kas tiek parādīta jūsu ierīces ekrānā.
“Konceptuāli tas ir tā, it kā ļaunprātīgā lietotne uzņemtu ekrānuzņēmumu ekrānuzņēmumu, kurai tam nevajadzētu būt piekļuvei,” lasāms Pixnapping vietne.
Pētnieki pārbaudīja pixnapping uzbrukumu Google Pixel 6 līdz 9 viedtālruņiem, kā arī Samsung Galaxy S25, kas darbojas ar daudzām dažādām Android mobilās operētājsistēmas versijām no Android 13 līdz 16.
Lai gan tas noteikti attiecas uz jaunumiem, pētnieki saka, ka viņi nezina par reāliem pasaules piemēriem, kas tiek izmantoti savvaļā.
Kiberdrošības pētnieku komanda februārī informēja Google par Android ievainojamību. Google pagājušajā mēnesī izlaida savu pirmo Pixnapping plāksteri. Tomēr pētnieki dažu dienu laikā atklāja risinājumu un vēlreiz informēja Google. Google saka, ka tas notiks atbrīvot Papildu pixnapping plāksteris decembra Android drošības biļetenā.
