Новое уязвимость Android, называемое Pixnapping, позволяет вредоносным приложениям красть конфиденциальные данные с экрана менее чем за 30 секунд, без специальных разрешений.

Исследователи обнаружили серьезную уязвимость в Android, названную Pixnapping, которая позволяет вредоносным приложениям быстро красть конфиденциальные данные с экрана, такие как коды Google Authenticator, сообщения Signal и финансовую информацию Venmo. Pixnapping обходит модель разрешений Android, захватывая все, что видно на экране, без необходимости в специальных разрешениях. Атака манипулирует системой воспроизведения Android для извлечения данных пиксель за пикселем, используя продвинутые технологии оптического распознавания символов (OCR). Уязвимость связана с проблемой побочного канала графического процессора, названной GPU.zip, которая позволяет приложениям наблюдать за изменениями времени воспроизведения. Google оценил Pixnapping как уязвимость высокой степени серьезности и выпустил частичное решение, но исследователи смогли быстро ее обойти. На данный момент нет надежного способа для пользователей защититься от Pixnapping, и рекомендуется обновление системы.