Gần đây, một mối đe dọa bảo mật mới đã xuất hiện và làm dấy lên sự lo ngại cho người dùng thiết bị Android. Mối đe dọa này không chỉ đơn thuần là một lỗ hổng; nó mang tên gọi Pixnapping, và được nghiên cứu bởi một nhóm các chuyên gia học thuật. Mối tấn công này có khả năng âm thầm đánh cắp mã xác thực hai yếu tố, dòng thời gian vị trí và nhiều dữ liệu cá nhân khác chỉ trong vòng chưa đến 30 giây.
Mối tấn công Pixnapping yêu cầu nạn nhân phải cài đặt một ứng dụng độc hại trên điện thoại hoặc máy tính bảng Android của họ. Điều đáng nói là ứng dụng độc hại này không cần quyền truy cập hệ thống, nhưng có khả năng đọc dữ liệu hiển thị trên màn hình từ bất kỳ ứng dụng nào khác đang hoạt động. Cho đến nay, Pixnapping đã được chứng minh hoạt động hiệu quả trên các mẫu điện thoại như Google Pixel và Samsung Galaxy S25 và có khả năng có thể được điều chỉnh để hoạt động trên các mẫu điện thoại khác với một số cải tiến nhất định. Mặc dù Google đã phát hành một số biện pháp khắc phục vào tháng trước, nhưng nhóm nghiên cứu cho biết rằng một phiên bản đã được sửa đổi của cuộc tấn công này vẫn hoạt động ngay cả khi bản cập nhật được cài đặt.
Tương tự như việc chụp màn hình
Mối tấn công Pixnapping bắt đầu khi ứng dụng độc hại sử dụng các giao diện lập trình ứng dụng của Android để yêu cầu các ứng dụng nhắm mục tiêu gửi thông tin nhạy cảm tới màn hình thiết bị. Ứng dụng độc hại sau đó thực hiện các thao tác đồ họa trên các pixel cụ thể mà kẻ tấn công quan tâm. Pixnapping khai thác một kênh bên cho phép ứng dụng độc hại ánh xạ các pixel tại những tọa độ đó thành chữ, số hoặc hình khối.
Các nhà nghiên cứu chia sẻ trên một website thông tin rằng: “Mọi thứ mà ứng dụng mục tiêu hiển thị đều có thể bị đánh cắp bởi ứng dụng độc hại thông qua Pixnapping.” Họ nhấn mạnh rằng tin nhắn trò chuyện, mã 2FA, email và rất nhiều dữ liệu nhạy cảm khác đều có nguy cơ, miễn là chúng có thể thấy được. Tất cả các thông tin bí mật không hiển thị (ví dụ: một khóa bí mật được lưu trữ nhưng không bao giờ được hiển thị trên màn hình) sẽ không thể bị Pixnapping lấy cắp.
Mối tấn công mới này gợi nhớ đến mối đe dọa GPU.zip, một cuộc tấn công diễn ra vào năm 2023 cho phép các trang web độc hại đọc tên người dùng, mật khẩu và dữ liệu nhạy cảm khác hiển thị bởi các trang web khác. Chiến thuật tương tự được áp dụng, khi khai thác các kênh bên có trong GPU của tất cả các nhà cung cấp chính. Những lỗ hổng mà GPU.zip khai thác vẫn chưa được khắc phục. Thay vào đó, cuộc tấn công đã bị ngăn chặn trong các trình duyệt bằng cách giới hạn khả năng mở iframe, một yếu tố HTML cho phép một trang web (trong trường hợp này là một trang web độc hại) nhúng nội dung của một trang khác từ miền khác.
Pixnapping cũng tập trung vào cùng một kênh bên như GPU.zip, cụ thể là thời gian chính xác mà một khung hình mất để được hiển thị trên màn hình. “Điều này cho phép ứng dụng độc hại đánh cắp thông tin nhạy cảm được hiển thị bởi các ứng dụng khác hoặc các trang web bất kỳ, pixel một,” Alan Linghao Wang, tác giả chính của nghiên cứu mang tên “Pixnapping: Bringing Pixel Stealing out of the Stone Age,” giải thích trong một cuộc phỏng vấn. “Về mặt khái niệm, việc này giống như ứng dụng độc hại đang chụp màn hình nội dung mà nó không nên có quyền truy cập. Cuộc tấn công đầu cuối của chúng tôi đơn giản chỉ đo thời gian hiện thị mỗi khung hình của các thao tác đồ họa để xác định xem pixel đó có phải là màu trắng hay không.”
Pixnapping diễn ra qua 3 bước chính
Mối tấn công Pixnapping được thực hiện qua ba bước chính. Đầu tiên, ứng dụng độc hại sẽ gọi các API của Android để thực hiện các yêu cầu đến ứng dụng mà kẻ tấn công muốn theo dõi. Những yêu cầu này cũng có thể được sử dụng để quét thiết bị nhiễm độc để tìm kiếm các ứng dụng thú vị đã được cài đặt. Ngoài ra, chúng có thể khiến ứng dụng mục tiêu hiển thị dữ liệu cụ thể mà nó có quyền truy cập, chẳng hạn như chuỗi tin nhắn trong một ứng dụng nhắn tin hoặc mã 2FA cho một trang web cụ thể. Những yêu cầu này khiến thông tin được truyền đến quy trình hiển thị Android, hệ thống đảm nhận việc chuyển đổi các pixel của mỗi ứng dụng để hiển thị trên màn hình. Các yêu cầu riêng biệt của Android bao gồm các hoạt động, các ý định và các tác vụ.
Bước thứ hai, Pixnapping tiến hành các thao tác đồ họa trên từng pixel mà ứng dụng mục tiêu gửi đến quy trình hiển thị. Các thao tác này chọn các tọa độ của pixel mà ứng dụng muốn đánh cắp và bắt đầu kiểm tra xem màu sắc của các tọa độ đó là trắng hay không, hoặc nói chung hơn là màu sắc đó có phải là c hay không (với c là một màu bất kỳ).
