Dalam dunia keselamatan mudah alih, penyelidik telah menemui satu serangan baharu yang licin yang membolehkan aplikasi berniat jahat membaca apa yang terdapat pada skrin anda tanpa meminta sebarang kebenaran khas. Teknik ini, yang dipanggil Pixnapping, telah mencetuskan perbincangan hangat dalam kalangan pakar keselamatan dan pengguna Android mengenai perlindungan asas dalam peranti mudah alih kita.
Bagaimana Pixnapping Mencuri Data Anda Pixel demi Pixel
Serangan ini berfungsi melalui proses tiga langkah yang canggih yang mengeksploitasi cara Android mengendalikan pemprosesan grafik. Pertama, aplikasi berniat jahat memperdaya aplikasi lain untuk memaparkan maklumat sensitif seperti kod pengesahan dua faktor atau mesej peribadi. Kemudian, ia melakukan operasi grafik pada piksel individu sambil mengukur perbezaan masa yang kecil dalam tempoh yang diambil oleh setiap piksel untuk diproses. Akhirnya, dengan menggabungkan ukuran masa ini, penyerang boleh membina semula apa yang terdapat pada skrin anda secara perlahan-lahan, satu piksel pada satu masa.
Apa yang menjadikan ini amat membimbangkan komuniti keselamatan ialah aplikasi berniat jahat itu tidak memerlukan sebarang kebenaran Android khas untuk melaksanakan serangan ini. Seperti yang dinyatakan oleh seorang pengulas, Hakikat bahawa aplikasi itu tidak memerlukan kebenaran adalah perkara yang penting di sini. Saya sangka aplikasi sepatutnya dipisahkan antara satu sama lain melainkan diberikan kebenaran secara jelas. Ini memintas model keselamatan tradisional di mana pengguna menjangkakan bahawa menolak kebenaran akan melindungi data mereka.
Serangan ini nampaknya secara jelas mengeksploitasi saluran pemprosesan Android melalui saluran sampingan.
Kecanggihan teknikal Pixnapping telah menarik rasa kagum dan kebimbangan dalam kalangan profesional keselamatan. Serangan ini memanfaatkan saluran sampingan GPU.zip yang sama yang ditemui pada 2023, yang mengeksploitasi perbezaan masa mampatan dalam unit pemprosesan grafik. Ini menunjukkan bagaimana kelemahan dalam komponen perkakasan asas boleh membolehkan kelas serangan perisian baharu.
Butiran Teknikal Utama:
- Keperluan: Pemasangan aplikasi berniat jahat (tiada kebenaran diperlukan)
- Mengeksploitasi: Saluran sampingan GPU.zip melalui saluran rendering Android
- Sasaran: Sebarang kandungan skrin yang boleh dilihat (kod 2FA, mesej, e-mel)
- Kaedah: Serangan masa pada rendering piksel, 16 sampel bagi setiap piksel sasaran
- Had: Tidak boleh mengakses data yang tidak kelihatan, memerlukan kandungan sasaran pada skrin
Kesan Dunia Sebenar dan Kebimbangan Pengguna
Bagi pengguna Android harian, implikasi praktikal adalah signifikan. Penyelidikan menunjukkan bahawa Pixnapping boleh berjaya mencuri kod 2FA daripada Google Authenticator dengan kadar kejayaan yang berbeza-beza merentasi model Pixel yang berlainan - mencecah 73% pada peranti Pixel 6. Serangan ini beroperasi dalam tempoh 30 saat kritikal di mana kod 2FA masih sah, menjadikannya ancaman sebenar kepada keselamatan akaun.
Perbincangan komuniti telah menyerlahkan beberapa aspek yang membimbangkan mengenai kelemahan ini. Ramai pengguna menyatakan rasa terkejut bahawa Android membenarkan aplikasi memanggil aplikasi lain dan melukis di atas kandungan mereka tanpa kebenaran jelas. Terdapat juga kebimbangan tentang kelaziman perisian sampah yang diprapasang dan aplikasi yang disyorkan dipasang secara automatik yang berpotensi membawa serangan sedemikian. Seperti yang ditunjukkan oleh seorang pengulas, 90% pengguna Android yang tidak mahir secara teknikal adalah 100% terdedah kepada eksploitasi OP.
Permukaan serangan adalah lebih luas daripada yang disedari ramai. Walaupun aplikasi berniat jahat perlu dibuka oleh pengguna, ketikan tidak sengaja atau aplikasi yang menyamar boleh mencetuskan eksploitasi. Beberapa pengguna berkongsi pengalaman pasti membuka aplikasi yang salah secara tidak sengaja pada telefon pintar - sangat mudah untuk menekan perkara yang salah dalam pelbagai situasi.
Kadar Kejayaan Serangan Pixnapping Mengikut Peranti:
- Pixel 6: Kadar kejayaan 73%, purata masa pemulihan 14.3 saat
- Pixel 7: Kadar kejayaan 53%, purata masa pemulihan 25.8 saat
- Pixel 8: Kadar kejayaan 29%, purata masa pemulihan 24.9 saat
- Pixel 9: Kadar kejayaan 53%, purata masa pemulihan 25.3 saat
- Samsung Galaxy S25: Tidak dapat membocorkan kod 2FA dalam masa 30 saat disebabkan gangguan yang ketara
Strategi Mitigasi dan Cabaran Berterusan
Google telah mengakui isu tersebut dan mengeluarkan tampalan awal, dengan wakil menyatakan mereka telah mengeluarkan tampalan untuk CVE-2025-48561 dalam buletin keselamatan Android September dan merancang pembaikan tambahan pada Disember. Walau bagaimanapun, penyelidik mendapati bahawa versi serangan yang diubah suai boleh memintas perlindungan awal ini.
Komuniti keselamatan telah mencadangkan beberapa pertahanan praktikal. Menggunakan aplikasi pengesah dengan skrin privasi yang memerlukan pengesahan biometri menghalang serangan dengan menyembunyikan maklumat sensitif sehingga pengesahan. Berhati-hati tentang pemasangan aplikasi dan menggunakan alat seperti Universal Android Debloater untuk membuang aplikasi diprapasang yang tidak perlu boleh mengurangkan pendedahan.
Beberapa penyelesaian teknikal yang dicadangkan termasuk memperkenalkan jitter masa rawak semasa pemprosesan untuk mengaburkan saluran sampingan, walaupun ini memerlukan perubahan asas kepada saluran grafik Android. Perbincangan juga menyentuh sama ada kelemahan serupa mungkin menjejaskan platform lain, dengan pengguna tertanya-tanya sama ada reka bentuk Wayland yang berfokuskan keselamatan atau iOS mungkin menawarkan perlindungan yang lebih baik terhadap serangan sedemikian.
Penemuan Pixnapping mewakili satu lagi bab dalam pertempuran berterusan antara penyelidik keselamatan dan penyerang yang berpotensi. Walaupun serangan ini memerlukan kecanggihan teknikal yang signifikan dan belum diperhatikan di alam sebenar, ia menunjukkan bagaimana penyerang yang bertekad boleh mencari cara kreatif untuk memintas perlindungan keselamatan mudah alih. Bagi pengguna Android, ini adalah peringatan untuk sentiasa berwaspada tentang aplikasi yang mereka pasang dan untuk memastikan peranti mereka dikemas kini dengan tampalan keselamatan terkini.
Rujukan: Hackers can steal 2FA codes and private messages from Android phones