EN
 

هشدار درباره حمله جدید Pixnapping: سرقت پیکسل برای دستیابی به اطلاعات حساس کاربران اندروید

  1. سرتفا »
  2. آخرین خبرها »
  3. آسیب‌پذیری‌ها
۲۳ مهر ۱۴۰۴

پژوهشگران امنیتی در آمریکا روش حمله‌ای نوظهور به نام «Pixnapping» را معرفی کرده‌اند که می‌تواند امنیت کاربران دستگاه‌های اندرویدی را به‌طور جدی تهدید کند. در این روش، یک اپلیکیشن مخرب با ظاهری بی‌خطر می‌تواند به‌طور پنهانی اطلاعات تصویری (پیکسل‌ها) را از نمایشگر دستگاه سرقت کند؛ اطلاعاتی که ممکن است شامل کدهای احراز هویت دومرحله‌ای (2FA)، موقعیت مکانی، پیام‌های شخصی یا داده‌های حساس دیگر باشد.

این تحقیق توسط دانشگاه‌های برکلی و سن‌دیگو (کالیفرنیا)، دانشگاه واشنگتن و دانشگاه کارنگی ملون انجام شده و نشان می‌دهد این نوع حمله می‌تواند حتی از اپ‌هایی نظیر گوگل مپس، سیگنال، و برنامه‌هایی مانند Google Authenticator نیز داده استخراج کند.

Pixnapping نوعی «حمله کانال جانبی» محسوب می‌شود؛ حملاتی که بدون نفوذ مستقیم به نرم‌افزار، از نشانه‌های جانبی دستگاه مانند زمان‌بندی یا رنگ پیکسل‌ها برای استخراج اطلاعات استفاده می‌کنند. ایده اولیه این نوع حمله به سال ۲۰۱۳ بازمی‌گردد، اما پژوهش جدید نشان می‌دهد با به‌کارگیری تکنیک‌های تازه، می‌توان داده‌های حساسی را از اپلیکیشن‌های مدرن نیز استخراج کرد.

تیم پژوهش این روش را بر روی گوشی‌های پیکسل گوگل (مدل‌های ۶ تا ۹) و گلکسی S25 سامسونگ آزمایش کرده و موفق به بازیابی اطلاعات از مرورگرها و اپ‌های غیرمرورگری شده است. یافته‌ها در اوایل سال ۲۰۲۵ به گوگل و سامسونگ گزارش شده‌اند. گوگل بخشی از این آسیب‌پذیری را وصله کرده، اما هنوز برخی مسیرهای حمله باقی‌ مانده‌اند. سایر گوشی‌های اندرویدی نیز ممکن است در معرض خطر باشند.

اجرای این حمله به دانش تخصصی عمیق در زمینه معماری اندروید و سخت‌افزار گرافیکی نیاز دارد و در سطح هکرهای حرفه‌ای است. اما اگر این فناوری در یک اپ مخرب پیاده‌سازی شود، ممکن است با ظاهر یک اپلیکیشن عادی در فروشگاه‌ها یا منابع جانبی توزیع شده و از طریق فریب کاربران نصب شود.

روش کار این اپلیکیشن مبتنی بر سوءاستفاده از «Android Intents» است؛ مکانیزمی برای ارتباط بین اپ‌ها. اپ مخرب با استفاده از پنجره‌های تقریبا نامرئی روی اپ موردنظر قرار می‌گیرد و از طریق تحلیل دقیق زمان‌بندی تغییرات رنگ پیکسل‌ها، داده‌ها را استخراج و به سرور مهاجم ارسال می‌کند. طبق گزارش پژوهشگران، سرقت یک کد موقت 2FA از اپلیکیشن Google Authenticator کمتر از ۳۰ ثانیه زمان می‌برد.

این یافته‌ها بار دیگر اهمیت نصب نکردن اپلیکیشن‌های ناشناس و رعایت اصول ایمنی در استفاده از دستگاه‌های اندرویدی را یادآور می‌شوند.

توضیحات بیشتر:

Pixel-stealing “Pixnapping” attack targets Android devices

اندروید

به اشتراک بگذارید

بازگشت به بالا

مایکروسافت حالت اینترنت اکسپلورر را در مرورگر «اج» محدود کرد