Sette ricercatori di quattro università statunitensi hanno scoperto una nuova classe di attacchi, denominati Pixnapping, che permettono di rubare qualsiasi informazione mostrata da app e siti web su uno smartphone Android, inclusi i codici 2FA (autenticazione in due fattori) di Google Authenticator. Google rilascerà una patch definitiva a dicembre.
Descrizione e patch temporanea
I ricercatori hanno effettuato i test con cinque smartphone: Google Pixel 6, 7, 8, 9 e Samsung Galaxy S25. Le versioni di Android installate erano comprese tra 13 e 16. Un attacco Pixnapping interessa quasi certamente altri dispositivi in quanto sfrutta vulnerabilità del sistema operativo. È sufficiente solo convincere le potenziali vittime ad installare un’app in grado di “leggere” i dati sullo schermo.
L’attacco Pixnapping prevede tre fasi. Inizialmente, l’app infetta invoca le API Android per aprire l’app target (ad esempio Google Authenticator). Successivamente, l’app infetta seleziona le coordinate di un pixel di cui vuole rubare il colore (ad esempio il pixel dell’area dello schermo in cui Google Authenticator ha renderizzato un carattere del codice 2FA).
Infine, l’app infetta misura il tempo di rendering per frame delle operazioni grafiche per determinare se il pixel era bianco o non bianco. Questi ultimi due passaggi vengono ripetuti per tutti i pixel, in modo da indovinare il contenuto mostrato sullo schermo. Ciò avviene sfruttando un attacco side-channel noto come GPU.zip, per il quale non è stato mai rilasciato un fix.
In pratica è come se l’app infetta catturasse lo screenshot del contenuto dello schermo. La durata dell’attacco dipende da vari fattori, tra cui il numero di pixel necessari per scoprire il contenuto. È comunque sufficiente per rubare i codici 2FA generati ogni 30 secondi.
Google ha comunicato che la vulnerabilità è stata parzialmente risolta con la patch CVE-2025-48561 di settembre. Il fix definitivo verrà rilasciato a dicembre. Al momento non ci sono app utilizzate per un attacco Pixnapping.
