This post is also available in:
English (אנגלית)
מחקר אקדמי חדש חשף חולשה חמורה במערכת ההפעלה של אנדרואיד, המאפשרת לתוקפים לחלץ תוכן רגיש מהמסך – כולל קודי אימות דו-שלבי (2FA) והודעות פרטיות – פיקסל אחר פיקסל, וללא צורך בהרשאות מיוחדות. שיטת התקיפה, שכונתה "Pixnapping", משפיעה על כמעט כל מכשירי האנדרואיד המודרניים, והודגמה בהצלחה כנגד אפליקציות כגון Google Authenticator, Gmail, Signal ו-Venmo.
הטכניקה פותחה והודגמה על ידי חוקרים מאוניברסיטת קליפורניה בברקלי, אוניברסיטת וושינגטון, ואוניברסיטת קרנגי מלון. על פי בדיקותיהם, גרסאות אנדרואיד 13 עד 16, וכן מכשירים כמו גוגל פיקסל 6 עד 9 וסמסונג גלקסי S25, חשופים לחולשה.
התקיפה דורשת מהמשתמש להפעיל אפליקציה תמימה לכאורה, שאינה מבקשת הרשאות כלשהן. ברגע שהיא מופעלת, האפליקציה פותחת באופן שקט את המסך הרצוי באפליקציית היעד – לדוגמה, המסך הראשי של אפליקציית אימות דו-שלבי – מבלי לעורר את חשדו של המשתמש. לאחר מכן מתחיל תהליך סמוי שבו נשלפים נתוני המסך על ידי בידוד פיקסלים בודדים, תוך שימוש במעטפות שקופות ובניצול הבדלים בזמני העיבוד של המעבד הגרפי (GPU).
באמצעות שיטה זו הצליחו החוקרים לשחזר תוכן רגיש מהמסך, פיקסל אחר פיקסל. למרות קצב החילוץ האיטי – בין 0.6 ל-2.1 פיקסלים לשנייה – די היה בכך כדי לשחזר מידע קריטי, כגון קודי גישה חד-פעמיים. תוכן מלא של מסך, כמו תיבת דואר נכנס, שוחזר תוך 10 עד 25 שעות של ניסוי.
התקיפה עושה שימוש לרעה במערכת ה-intents של אנדרואיד – מנגנון שמאפשר לאפליקציות להפעיל מסכים ולבצע פעולות באפליקציות אחרות. Pixnapping מנצלת זאת בכך שהיא פותחת מסכים רגישים תחת שכבות חצי-שקופות, המסתירות את הפעולה מעיני המשתמש.
גוגל עודכנה על החולשה וסיווגה אותה כבעלת חומרה גבוהה. תיקון ראשוני כלל הגבלת השימוש באפקטים של טשטוש, אך החוקרים הצליחו לעקוף אותו. עדכון אבטחה משלים צפוי להיכלל בעדכון האבטחה של אנדרואיד לחודש דצמבר.
