Ερευνητές ασφαλείας επανέφεραν μια επίθεση κλοπής δεδομένων 12 ετών σε προγράμματα περιήγησης για την κλοπή ευαίσθητων πληροφοριών από συσκευές Android. Η επίθεση, με την ονομασία Pixnapping, δεν έχει επιδιορθωθεί ακόμη.
Εννοιολογικά, είναι το ισοδύναμο μιας κακόβουλης εφαρμογής Android που μπορεί να τραβήξει στιγμιότυπα οθόνης άλλων εφαρμογών ή ιστότοπων. Έτσι επιτρέπει σε μια κακόβουλη εφαρμογή Android να έχει πρόσβαση και να διαρρέει πληροφορίες που εμφανίζονται σε άλλες εφαρμογές Android ή σε ιστότοπους.
Μπορεί, για παράδειγμα, να κλέψει δεδομένα που εμφανίζονται σε εφαρμογές όπως οι Χάρτες της Google, το Signal και το Venmo, καθώς και από ιστότοπους όπως το Gmail (mail.google.com).
Μπορεί ακόμη και να κλέψει κωδικούς 2FA από το Google Authenticator.
“Πρώτον, η κακόβουλη εφαρμογή ανοίγει την εφαρμογή-στόχο (π.χ., το Google Authenticator), υποβάλλοντας αίτημα”, αναφέρει ο Alan Wang, υποψήφιος διδάκτορας στο UC Berkeley”.
Δεύτερον, η κακόβουλη εφαρμογή επιλέγει τις συντεταγμένες ενός στόχου τον οποίο θέλει να κλέψει. Ας υποθέσουμε για παράδειγμα ότι θέλει να κλέψει κάτι που αποτελεί μέρος της περιοχής της οθόνης όπου είναι γνωστό ότι εμφανίζεται το 2FA από το Google Authenticator.
Τρίτον, η κακόβουλη εφαρμογή προκαλεί ορισμένες γραφικές λειτουργίες. Η κακόβουλη εφαρμογή το κάνει αυτό με ορισμένες κακόβουλες δραστηριότητες μπροστά από την εφαρμογή-στόχο.”
Οι ερευνητές έχουν επιδείξει το Pixnapping σε πέντε συσκευές με εκδόσεις από Android 13 έως 16 (μέχρι το build id BP3A.250905.014) σε συσκευές Google Pixel 6, Google Pixel 7, Google Pixel 8, Google Pixel 9 και Samsung Galaxy S25.
Το Android 16 είναι η πιο πρόσφατη έκδοση λειτουργικού συστήματος. Άλλες συσκευές Android δεν έχουν δοκιμαστεί, αλλά ο μηχανισμός που επιτρέπει την λειτουργία της επίθεσης είναι διαθέσιμος. Μια κακόβουλη εφαρμογή Android που εφαρμόζει το Pixnapping δεν απαιτεί ειδικά δικαιώματα στο αρχείο manifest της, αναφέρουν οι ερευνητές.
Οι ερευνητές περιγράφουν λεπτομερώς την επίθεση σε μια εργασία (PDF) με τίτλο “Pixnapping: Bringing Pixel Stealing out of the Stone Age“.
Συνεργάτες ερευνητές:
- Alan Wang (University of California, Berkeley)
- Pranav Gopalkrishnan (University of Washington)
- Yingchen Wang (University of California, Berkeley)
- Christopher Fletcher (University of California, Berkeley)
- Hovav Shacham (University of California, San Diego)
- David Kohlbrenner (University of Washington)
- Riccardo Paccagnella (Carnegie Mellon University)
Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ….
