MY
MY
About Us
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
News
Teknologi
Android
Perisian
Kerentanan 0 Hari

Vulnerabiliti Pixnapping Android: Serangan Mencuri Pixel Yang Tidak Dapat Ditampal Yang Terus Berulang

Pasukan Komuniti BigGo
Vulnerabiliti Pixnapping Android: Serangan Mencuri Pixel Yang Tidak Dapat Ditampal Yang Terus Berulang

Dalam dunia keselamatan mudah alih, satu ancaman baru telah muncul yang mencabar andaian asas tentang model keselamatan Android. Pixnapping, satu teknik serangan canggih yang membenarkan aplikasi berniat jahat mencuri maklumat sensitif piksel demi piksel daripada aplikasi lain, telah mencetuskan perdebatan hangat dalam kalangan penyelidik keselamatan dan pemaju. Apa yang menjadikan vulnerabiliti ini amat membimbangkan ialah walaupun Google telah cuba menampalnya, penyelidik telah menemui jalan keluar, menimbulkan persoalan sama ada lubang keselamatan ini boleh ditutup sepenuhnya.

Cabaran Teknikal untuk Tetingkap yang Benar-Benar Selamat

Inti pati vulnerabiliti Pixnapping terletak pada pengendalian Android terhadap kawasan skrin yang sepatutnya selamat. Aplikasi yang peka keselamatan seperti Google Authenticator dan Signal menggunakan ciri tetingkap selamat Android untuk menghalang aplikasi lain daripada menangkap kandungan mereka melalui kaedah tangkapan skrin tradisional. Walau bagaimanapun, Pixnapping memintas perlindungan ini dengan mengeksploitasi operasi grafik dan saliran sampingan perkakasan.

Pemaju aplikasi sudah boleh menandakan tetingkap mereka sebagai selamat secara dinamik yang sepatutnya menghalang sebarang aplikasi lain daripada membaca piksel yang dipaparkannya. Kompositor mengkomposisikan semua tetingkap, termasuk tetingkap selamat dan menggunakan sebarang kesan seperti kabur. Tiada aplikasi sepatutnya dapat melihat imej komposit akhir ini, tetapi serangan ini menggunakan saliran sampingan yang mereka temui yang membenarkan aplikasi pada sistem untuk mempelajari maklumat tentang piksel dalam komposisi akhir.

Pengetahuan ini menyerlahkan ketegangan asas dalam sistem pengendalian mudah alih moden antara fungsi dan keselamatan. Ciri seperti mod malam, penjermangan skrin, dan kesan visual memerlukan sistem memproses piksel daripada tetingkap selamat, mewujudkan peluang untuk eksploitasi. Serangan ini dengan bijak menggunakan API kabur tetingkap Android untuk memanipulasi piksel ini dan kemudian mengukur perbezaan masa yang bergantung pada warna melalui saliran sampingan perkakasan GPU.zip.

Komponen Teknikal yang Dieksploitasi:

  • API kabur tetingkap Android
  • Panggil balik VSync untuk pengukuran masa
  • Saluran sampingan perkakasan GPU.zip
  • Intents Android untuk lapisan aktiviti

Tampalan Yang Tidak Mencukupi

Tindak balas Google terhadap pendedahan Pixnapping mendedahkan kerumitan masalah tersebut. Syarikat itu mengeluarkan tampalan awal pada September 2025 yang cuba mengehadkan bilangan aktiviti yang boleh dicetuskan kabur oleh sesebuah aplikasi. Walau bagaimanapun, pasukan penyelidik dengan cepat menemui jalan keluar yang memulihkan keberkesanan serangan tersebut. Permainan kucing dan tikus ini menunjukkan cabaran untuk membaiki vulnerabiliti yang merangkumi kedua-dua API perisian dan ciri-ciri perkakasan.

Keadaan ini menjadi lebih rumit dengan penglibatan pelbagai vendor. Walaupun Google membangunkan Android, saliran sampingan GPU.zip menjejaskan perkakasan daripada pelbagai pengeluar, yang mana tiada seorang pun telah komited untuk menampal isu perkakasan asas setakat Oktober 2025. Fragmentasi ini mewujudkan ribut sempurna di mana tampalan perisian hanya boleh menangani masalah tersebut sebahagiannya.

Garis Masa Pendedahan:

  • 2025-02-24: Pendedahan awal kepada Google
  • 2025-07-25: CVE-2025-48561 diberikan
  • 2025-09-02: Google mengeluarkan tampung awal
  • 2025-09-04: Penyelidik menemui penyelesaian alternatif
  • 2025-10-13: Google mengumumkan rancangan tampung Disember

Kebimbangan Komuniti Mengenai Implikasi Praktikal

Tindak balas komuniti keselamatan terhadap Pixnapping adalah bercampur-campur, dengan sesetengahnya mempersoalkan risiko dunia sebenar berbanding perhatian yang diterima oleh vulnerabiliti tersebut. Satu perspektif mencadangkan bahawa jika penyerang boleh memasang aplikasi berniat jahat pada peranti pengguna, mereka mungkin mempunyai cara yang lebih mudah untuk mencuri maklumat berbanding teknik mencuri piksel yang canggih ini.

Walau bagaimanapun, ini memandang rendah sifat senyap Pixnapping. Tidak seperti serangan yang lebih jelas, Pixnapping boleh beroperasi tanpa sebarang keizinan khas dan tersembunyi sepenuhnya daripada pengguna. Keupayaan untuk mencuri kod pengesahan dua faktor daripada Google Authenticator dalam masa 30 saat sementara pengguna masih tidak sedar mewakili ancaman yang signifikan kepada keselamatan pengesahan.

Aplikasi Utama Yang Terdedah:

  • Google Authenticator (kod 2FA dicuri dalam masa kurang daripada 30 saat)
  • Signal (mesej peribadi)
  • Gmail dan Akaun Google
  • Venmo (maklumat kewangan)
  • Google Maps

Implikasi Lebih Luas untuk Keselamatan Mudah Alih

Pixnapping mendedahkan isu yang lebih mendalam dalam keselamatan ekosistem mudah alih. Vulnerabiliti ini menjejaskan peranti daripada pelbagai pengeluar, termasuk barisan Pixel Google sendiri dan siri Galaxy Samsung, yang menjalankan versi Android 13 hingga 16. Kesan meluas ini menekankan bagaimana corak seni bina biasa boleh mewujudkan vulnerabiliti sistematik.

Garis masa penyelidik mendedahkan corak yang membimbangkan dalam pengurusan vulnerabiliti. Vulnerabiliti pintasan senarai aplikasi mereka, yang membenarkan sebarang aplikasi menentukan aplikasi lain yang dipasang pada peranti tanpa memerlukan keizinan, telah dinilai sebagai Keterukan Rendah oleh Google dan ditandakan Tidak Akan Dibetulkan (Tidak Boleh Dilaksanakan). Ini mencadangkan bahawa beberapa lubang keselamatan sedang diterima sebagai semula jadi kepada platform berbanding ditangani.

Peranti Terjejas dan Versi Android:

  • Google Pixel 6, 7, 8, 9 (Android 13-16)
  • Samsung Galaxy S25 (Android 13-16)
  • Berpotensi semua peranti Android yang menggunakan seni bina rendering yang serupa

Melihat Ke Hadapan: Pencarian untuk Penyelesaian

Pertempuran berterusan menentang Pixnapping menimbulkan persoalan penting tentang masa depan keselamatan mudah alih. Sesetengah ahli komuniti telah mencadangkan pendekatan yang lebih radikal, seperti mencipta rantau paparan selamat yang berasingan sepenuhnya yang terpencil sepenuhnya daripada pemprosesan grafik biasa. Walau bagaimanapun, seperti yang diperhatikan oleh seorang pemberi komen, ini mewujudkan pertukaran kebolehgunaan, menjadikan aplikasi selamat kelihatan tidak sesuai apabila kesan visual seluruh sistem digunakan.

Cabaran asas kekal: peranti moden adalah sistem yang sangat kompleks di mana keselamatan mesti seimbang dengan fungsi dan pengalaman pengguna. Seperti yang diperhatikan oleh seorang ahli komuniti, Peranti moden terlalu kompleks untuk menjadi benar-benar selamat, mencadangkan mungkin terdapat pasaran masa depan untuk sistem pengendalian yang lebih mudah dan selamat yang mengutamakan keselamatan berbanding ciri.

Epos Pixnapping terus berlanjutan, dengan Google merancang percubaan tampalan lain pada Disember 2025. Sama ada ini akhirnya akan menyelesaikan isu tersebut atau hanya membawa kepada pusingan lain jalan keluar masih belum dapat dipastikan. Apa yang jelas ialah vulnerabiliti yang merangkumi kedua-dua lapisan perisian dan perkakasan mewakili salah satu masalah paling mencabar dalam keselamatan siber hari ini.

Rujukan: Serangan Pixnapping

Related News