أجهزة أندرويد هي عرضة لهجوم جديد يمكنه سرًا سرقة رموز المصادقة الثنائية والجداول الزمنية للموقع والبيانات الخاصة الأخرى في أقل من 30 ثانية.
يتطلب الهجوم الجديد، الذي أطلق عليه فريق الباحثين الأكاديميين الذين صمموه اسم Pixnapping، من الضحية تثبيت تطبيق ضار أولاً على هاتف أو جهاز لوحي يعمل بنظام Android. يمكن للتطبيق، الذي لا يتطلب أذونات النظام، قراءة البيانات التي يعرضها أي تطبيق مثبت آخر على الشاشة بشكل فعال. لقد تم عرض Pixnapping على هواتف Google Pixel وهاتف Samsung Galaxy S25 ومن المحتمل أن يتم تعديلها للعمل على طرز أخرى مع عمل إضافي. وأصدرت جوجل إجراءات تخفيف في الشهر الماضي، لكن الباحثين قالوا إن نسخة معدلة من الهجوم تعمل حتى عند تثبيت التحديث.
مثل التقاط لقطة للشاشة
تبدأ هجمات Pixnapping بتطبيق ضار يستدعي واجهات برمجة Android التي تتسبب في قيام المصادق أو التطبيقات المستهدفة الأخرى بإرسال معلومات حساسة إلى شاشة الجهاز. يقوم التطبيق الضار بعد ذلك بتشغيل عمليات رسومية على وحدات البكسل الفردية التي تهم المهاجم. يستغل Pixnapping بعد ذلك قناة جانبية تسمح للتطبيق الضار بتعيين وحدات البكسل في تلك الإحداثيات إلى أحرف أو أرقام أو أشكال.
وكتب الباحثون على موقع إعلامي: “أي شيء يكون مرئيًا عند فتح التطبيق المستهدف يمكن سرقته بواسطة التطبيق الضار الذي يستخدم Pixnapping”. “إن رسائل الدردشة وأكواد المصادقة الثنائية ورسائل البريد الإلكتروني وما إلى ذلك كلها معرضة للخطر لأنها مرئية. إذا كان التطبيق يحتوي على معلومات سرية غير مرئية (على سبيل المثال، يحتوي على مفتاح سري مخزّن ولكن لا يظهر أبدًا على الشاشة)، فلا يمكن سرقة هذه المعلومات عن طريق Pixnapping.”
تذكرنا فئة الهجوم الجديدة بـ GPU.zip، وهو هجوم عام 2023 سمح لمواقع الويب الضارة بقراءة أسماء المستخدمين وكلمات المرور والبيانات المرئية الحساسة الأخرى التي تعرضها مواقع الويب الأخرى. لقد نجحت من خلال استغلال القنوات الجانبية الموجودة في وحدات معالجة الرسومات من جميع الموردين الرئيسيين. لم يتم إصلاح الثغرات الأمنية التي استغلها GPU.zip مطلقًا. وبدلاً من ذلك، تم حظر الهجوم في المتصفحات من خلال الحد من قدرتها على فتح إطارات iframe، وهو عنصر HTML يسمح لموقع ويب واحد (في حالة GPU.zip، وهو موقع ضار) بتضمين محتويات موقع من مجال مختلف.
يستهدف Pixnapping نفس القناة الجانبية مثل GPU.zip، وتحديدًا مقدار الوقت المحدد الذي يستغرقه عرض إطار معين على الشاشة.
