Recenti scoperte nel campo della sicurezza informatica hanno rivelato una vulnerabilità significativa nei dispositivi Android, che consente di estrarre dati sensibili dallo schermo pixel per pixel. Questa tecnica, denominata Pixnapping, è in grado di acquisire codici di autenticazione a due fattori (2FA) in meno di 30 secondi. Sono stati testati principalmente smartphone Google e Samsung operanti su versioni Android dalla 13 alla 16, ma i ricercatori sostengono che le condizioni necessarie esistano anche in tutta la piattaforma Android.
come funziona la vulnerabilità di spionaggio dello schermo
cosa significa per gli utenti
Pixnapping non si limita a un abuso dei permessi degli screenshot; rappresenta un canale secondario che sfrutta il modo in cui Android gestisce finestre e sovrapposizioni. Un’app malevola può forzare il contenuto dell’app “vittima” nel percorso di rendering tramite intent, sovrapponendo attività semi-trasparenti e attivando effetti visivi per rivelare informazioni sul valore di ciascun pixel. Ripetendo questo processo, è possibile ricostruire ciò che appare sullo schermo, inclusi numeri da Google Authenticator o informazioni sensibili da applicazioni come Google Maps.
Questa metodologia non è completamente nuova; si basa su una precedente divulgazione legata al comportamento della compressione GPU, dimostrando come tale comportamento possa essere utilizzato per il furto di pixel attraverso browser. I ricercatori combinano questa peculiarità hardware con l’API di sfocatura delle finestre di Android per misurare differenze temporali dipendenti dai pixel ed estrarre dati da app non-browser. In sintesi: niente screenshot, solo fisica e pianificazione intelligente.
Google ha assegnato all’errore il codice CVE-2025-48561 (CVSS 5.5) e ha implementato mitigazioni nel bollettino sulla sicurezza Android di settembre 2025, avvertendo che richieste eccessive di sfocatura possono sia indicare che consentire il furto di pixel. I ricercatori affermano che esiste già una soluzione alternativa che riattiva Pixnapping e Google sta lavorando a un ulteriore fix.
Un’altra complicazione deriva dal fatto che un attaccante può inferire se un’app arbitraria sia installata, eludendo così le restrizioni imposte da Android 11 riguardo alla consultazione dell’elenco completo delle app. Google ha classificato questo comportamento come “non risolvibile”.
cosa si può fare adesso
Attualmente ci sono alcune misure preventive da adottare:
- Assicurarsi che Play Protect sia attivo;
- Evitare l’installazione di APK sospetti;
- Mantenere un atteggiamento critico verso app che richiedono l’apertura di altre applicazioni tramite loro stesse.
Suggerimenti aggiuntivi includono permettere alle app sensibili di disattivare trucchi compositivi e limitare la capacità dell’attaccante di effettuare misurazioni temporali ad alta fedeltà, affinché questi potenziali attacchi rimangano teorici. Fino a quando non saranno disponibili patch complete, è consigliabile trattare le app sconosciute come se fossero in grado di osservare ogni interazione con uno schermo ingrandito.
Lascia un commento