Група учени идентифицира уязвимост в операционната система Android, наречена Pixnapping. Атаката позволява от заразените устройства да се извличат кодовете за двуфакторно удостоверяване, личната кореспонденция и данните за геолокация.

Атаката изисква инсталирането на злонамерено приложение на устройството на жертвата. Особеното на метода е, че приложението не се нуждае от системни разрешения за достъп до данните от другите програми. Атаката е демонстрирана на смартфони Google Pixel и Samsung Galaxy S25.

Механизмът на действие на Pixnapping се основава на използването на страничен канал на GPU.ZIP, който анализира времето за визуализация на графичните кадри. Злонамереното приложение, чрез софтуерните интерфейси на Android, извиква целевото приложение, за да покаже чувствителната информация на екрана. След това се извършват графични операции върху отделни пиксели, а измерванията на времето за тяхната обработка позволяват да се определи цветът на всеки пиксел и да се реконструира показаното изображение.

Водещият автор на изследването, Алън Лингхао Уанг, обяснява, че атаката се осъществява на три етапа. В първия злонамереното приложение извиква целевата програма чрез Android API. Във втория се извършват графични операции върху пикселите, за да се определи техният цвят. При третия се измерва времето за обработка на всяка координата, за да се възстанови пълното изображение.

При тестване на телефони Google Pixel от различни модели атаката правилно възстановява шестцифрените кодове за двуфакторна автентикация с успеваемост, варираща от 29% до 73%, в зависимост от модела на устройството. Средното време за кражба на един код е между 14 и 26 секунди, което се вмества в 30-секундния период на валидност на кода. На устройството Samsung Galaxy S25 кодовете не можаха да бъдат извлечени поради високите нива на смущения.

Google пусна частична поправка за уязвимостта CVE-2025-48561 в септемврийската актуализация на сигурността на Android. Пълната корекция е планирана за декемврийския бюлетин по сигурността. Представители на компанията заявиха, че не са регистрирани случаи на използване на уязвимостта в реални условия.