Una nuova vulnerabilità Android, chiamata Pixnapping, consente alle applicazioni malevole di rubare dati sensibili dallo schermo in meno di 30 secondi, senza permessi speciali.

I ricercatori hanno scoperto una grave vulnerabilità in Android, chiamata Pixnapping, che consente alle applicazioni malevole di rubare rapidamente dati sensibili dallo schermo, come codici Google Authenticator, messaggi Signal e informazioni finanziarie Venmo. Pixnapping elude il modello di permessi di Android, catturando tutto ciò che è visibile sullo schermo senza richiedere permessi speciali. L'attacco manipola il sistema di rendering di Android per estrarre dati pixel per pixel, utilizzando tecniche avanzate di riconoscimento ottico dei caratteri (OCR). La vulnerabilità è legata a un problema di canale laterale della scheda grafica, denominato GPU.zip, che consente alle applicazioni di osservare le variazioni nel tempo di rendering. Google ha valutato Pixnapping come una vulnerabilità di alta severità e ha emesso una soluzione parziale, ma i ricercatori sono riusciti a eluderla rapidamente. Al momento, non esiste un metodo sicuro per gli utenti per proteggersi da Pixnapping, e si raccomandano aggiornamenti di sistema.