Čo je Pixnapping, ktorý dokáže ukradnúť overovacie kódy?

Sprievodcovia Androidom » všeobecný » Čo je Pixnapping, ktorý dokáže ukradnúť overovacie kódy?

Komunita kybernetickej bezpečnosti je v chaose kvôli novému konceptu, ktorý vyvíja tlak na používateľov systému Android: Pixnapping. Tento útok, pomenovaný podľa slovnej hračky medzi slovami pixel a hijacking, sa ukázal byť schopný „vidieť“, čo je namaľované na obrazovke, a odtiaľ… ukradnúť overovacie kódy 2FA a ďalšie citlivé údaje bez vzbudenia podozrenia alebo vyžiadania si zvonku povolenia.

Najpozoruhodnejšia je jej diskrétnosť: zdanlivo nevinná aplikácia, ktorú si nainštaluje používateľ, dokáže využiť legitímne rozhrania API systému Android a hardvérový bočný kanál na rekonštrukciu toho, čo sa zobrazuje na obrazovke iných aplikácií. Vo verejných testoch výskumníci ukázali, že je to možné. Extrahujte dočasné kódy, ako napríklad Google Authenticator, za menej ako 30 sekúnda urobte to tak, aby si používateľ nevšimol nič zvláštne.

Čo je Pixnapping a prečo spustil všetky tie poplachy

Pixnapping Ide o techniku ​​sledovania obrazovky, ktorá kombinuje volania systémového API s fyzickými signálmi zo zariadenia (hardvérový bočný kanál) na odvodenie toho, čo sa zobrazuje v reálnom čase. Z praktického hľadiska stačí, aby boli informácie viditeľné na obrazovke, aby bolo možné... znovu ho prepracovať a potichu ho prefiltrovať.

Kľúčový rozdiel oproti iným mobilným podvodom spočíva v tom, že škodlivá aplikácia nevyžaduje špeciálne povolenia. Nevyžaduje prístupnosť, nečíta oznámenia a nevyžaduje snímky obrazovky. Napriek tomu dokáže pozorovať vzory vykresľovania a „spájať“ informácie, ktoré vidí. Jednoducho povedané: ak to vidíte, útočník to dokáže. urobiť kópiu bez tvojho vedomia.

Výskumníci potvrdili útok na nedávnych modeloch: Google Pixel 6, Pixel 7, Pixel 8 a Pixel 9, ako aj na Samsung Galaxy S25. A nezostali len pri teórii: demonštrovali obnovu dát z... Gmail, účty Google, Signal, Google Authenticator, Venmo a Mapy Google, čím sa jasne uvádza, že problém sa týka viacerých aplikácií a služieb.

Existuje dôležité upozornenie: ak sa tajomstvo nikdy nezobrazí na obrazovke (napr. uložený, ale neviditeľný kľúč), Pixnapping ho nedokáže zachytiť. Riziko sa sústreďuje na to, čo je vykreslené a viditeľné pre ľudské oko, ako sú napríklad číslice TOTP, SMS správa s OTP alebo citlivé údaje, ktoré sa zobrazujú v oznámeniach alebo oknách.

Ako kradnú kódy 2FA a ďalšie viditeľné údaje

Keď otvoríte autentifikačnú aplikáciu alebo dostanete jednorazový kód, tento obsah sa nakreslí na obrazovku. A tu prichádza na rad Pixnapping: pozorovaním vzorov vykresľovania a signálov spojených s procesom kreslenia dokáže rekonštruovať zobrazený obsah a extrahovať ho s dostatočnou vernosťou, aby... Zaznamenajte kód TOTP alebo kľúč odoslaný prostredníctvom SMS.

To vysvetľuje, prečo funguje s lokálne generovanými kódmi (TOTP v aplikáciách ako Google Authenticator) a tiež s jednorazovými heslami, ktoré sa zobrazujú v správach, oznámeniach alebo vyskakovacích oknách. Ak je niečo viditeľné, existuje útočná plocha. Rýchlosť je tu dôležitá: výskumníci ukázali, že za menej ako pol minúty prečítať a exfiltrovať kód bez ďalšej interakcie s používateľom.

Rozsah má však prirodzené obmedzenia. Ak aplikácia skryje kritické prvky a nevykreslí ich (napríklad tajné kľúče TOTP uložené interne bez ich zobrazenia), na plátne nie je čo „špehovať“. Preto sa odporúča minimalizovať vizuálnu expozíciu kľúčov a vyhnúť sa upozorneniam s citlivým obsahom. byť viditeľný na uzamknutej obrazovke.

Z technického hľadiska používanie legitímnych API sťažuje systému detekciu, pretože sa nezneužívajú vysoko rizikové oprávnenia. A použitie hardvérového bočného kanála mu poskytuje tichú výhodu: nezobrazia sa vám vyskakovacie okná s oprávneniami ani špeciálne upozornenia, čo uľahčuje vykonanie útoku. zostať bez povšimnutia obete.

Dotknuté modely, ovplyvnené aplikácie a stav záplat

V publikovaných testoch výskumný tím dosiahol funkčné útoky na niekoľko telefónov Google (Pixel 6, 7, 8 a 9) a Samsung Galaxy S25. Hoci boli validácie obmedzené na tieto zariadenia, opísaný vedľajší kanál naznačuje, že väčšina moderných Androidov by mohli byť ovplyvnené, kým sa nezavedú významnejšie zmierňujúce opatrenia.

V snahe zastaviť vektor šírenia vírusu spoločnosť Google distribuovala opravu s označením CVE-2025-48561. Autori štúdie však poznamenali, že aj po nainštalovaní tejto aktualizácie... Pixnapping pokračoval v testovaní.To znamená, že prvé zmiernenie znižuje časť rizika, ale úplne ho nevylučuje.

Spoločnosť naznačila, že v decembrovom bezpečnostnom bulletine pre Android zverejní ďalšie posilnenie. Kým nepríde druhá záplata a nebude konsolidovaná medzi výrobcami, najlepšou obranou je obozretnosť používateľov: sledujte aktualizácie, aktivujte si Play Protect, vyhýbajte sa aplikácie mimo oficiálnych obchodov a dávajte si pozor na neznámych vývojárov.

Pokiaľ ide o aplikácie, rozsah je široký: od zabezpečeného zasielania správ, ako je Signal, až po správcov autentifikácie, ako je Google Authenticator, vrátane Gmailu, Venma a Google Maps. Spoločným prvkom je, že zobrazujú informácie, ktoré majú byť zámerne viditeľné. Preto by sa mala pozornosť zamerať na... znížiť viditeľný citlivý obsah vždy, keď je to možné.

Praktické zmierňovacie opatrenia: čo môžete urobiť už dnes pre zníženie rizika

Hoci sa objavujú nízkoúrovňové riešenia na blokovanie bočných kanálov, existujú návyky, ktoré pomáhajú. Po prvé, ak to služba umožňuje, prejdite z viditeľných kódov na metódy odolné voči phishingu: Bezpečnostné kľúče FIDO alebo schválenia push namiesto TOTP, ktoré sa na obrazovke zobrazujú niekoľko sekúnd.

Skryte citlivé upozornenia na uzamknutej obrazovke a vypnite ukážky, ktoré zobrazujú kódy alebo fragmenty správ. Minimalizujte čas, počas ktorého je TOTP viditeľný. Zároveň udržiavajte Android aktualizovaný, uprednostňujte bezpečnostné záplaty a nechajte Play Protect zapnutý. Ak máte čo i len najmenšie pochybnosti o aplikácii, odinštalujte a skontrolujte antivírusom.

Ďalšie užitočné opatrenia: inštalujte si aplikáciu z oficiálnych obchodov, overte si reputáciu vývojára a prečítajte si nedávne recenzie. Ak aplikácia požaduje povolenia, ktoré nedávajú zmysel jej účelu, je to zlé znamenie. A samozrejme nezdieľajte kódy, ktoré prichádzajú prostredníctvom SMS alebo okamžitých správ, a to ani v prípade, že vás o to požiada údajný technik alebo známy kontakt: Nikto legitímny od teba ten kód nebude žiadať..

Pri webových pripojeniach sa pri bankovníctve, posielaní e-mailov alebo nakupovaní vyhýbajte verejným Wi-Fi sieťam. Ak neexistuje iná možnosť, použite dôveryhodnú VPN. Skontrolujte uzamknutie HTTPS, odhláste sa po citlivých úlohách a skontrolujte pripojené zariadenia vo svojich účtoch. Ak vám niečo neznie povedome, okamžite zrušiť prístup.

QRLjacking a iné podvody s QR kódmi: Prečo fungujú a ako sa im vyhnúť

Vzostup QR kódov priniesol pohodlie… a nové pasce. Krádež QR kódov zneužíva túto dôveryhodnosť na prepašovanie zdanlivo legitímneho QR kódu, ktorý vás presmeruje na stránku ovládanú útočníkom. V niektorých službách sa tento QR kód používa na prihlásenie alebo prepojenie relácie, takže nevedomky odovzdáš svoje sedenie zločincovi.

Rozšíreným variantom je krádež QR kódu: útočník vytlačí falošný kód a nalepí ho cez skutočný kód na parkovacích automatoch, nabíjacích staniciach alebo značkách. Webová stránka, na ktorú sa dostanete, je falošná, vyžaduje si údaje o vašej karte a bum! skončíš na podvodnom móleSkutočné incidenty tohto typu už boli zdokumentované na verejných parkoviskách.

Existuje aj quishing, e-maily s QR kódmi, ktoré predstierajú, že pochádzajú z vašej banky alebo vlády. Vyzývajú vás na overenie vašich informácií alebo využitie ponuky. Naskenujete, dostanete sa na naklonovanú stránku a systém vás požiada o prihlasovacie údaje alebo iné citlivé informácie. V oficiálnych obchodoch dokonca existovali „nevinné“ skenovacie aplikácie, ktoré neskôr ukázali, že obsahujú škodlivé správanie.

Ako sa brániť: Pred skenovaním skontrolujte zdroj, použite čítačku, ktorá automaticky neotvára odkazy, a skontrolujte fyzický QR kód, či sa nezobrazuje prekrytý alebo vytlačený inak. V prípade pochybností zadajte adresu do prehliadača namiesto sledovania QR kódu. V podnikoch a na podujatiach je to dobrý nápad. viditeľné kódy auditu periodicky.

Únos webovej relácie: rovnaký cieľ, iná trasa

Keď sa prihlásite na webovú stránku, server vydá ID relácie (zvyčajne v súbore cookie), ktoré vás overí. Ak útočník toto ID získa, môže sa za vás vydávať. Existuje niekoľko spôsobov: XSS na krádež súborov cookie, sniffing v nešifrovaných sieťach, fixácia relácie alebo trójske kone typu „man-in-the-browser“, ktoré... zachytiť a zmeniť transakcie.

Hoci sa niekedy mýlia, únos relácie nie je to isté ako falšovanie relácie. V prvom prípade útočník prevezme kontrolu nad už aktívnou reláciou používateľa. V druhom prípade vytvorí novú reláciu, ktorá sa vydáva za používateľa od začiatku. V oboch prípadoch môžu mať následky rôzne významy. Krádež identity, podvod a prístup k reťazcu keď je k dispozícii SSO.

Prípady z reálneho života ukázali všetko od narušení videohovorov až po zraniteľnosti vo veľkých platformách, ktoré odhaľovali súbory cookie alebo tokeny v URL adresách. Recept na obranu: dávajte si pozor na nevyžiadané odkazy, vyhýbajte sa verejným sieťam, používajte spoľahlivé VPN, ak neexistuje alternatíva, povoľte MFA vo všetkých svojich službách, nakonfigurujte pravidlá pre vypršanie platnosti relácie a kontrolu a udržiavajte si antivírusový program aktuálny.

Únos WhatsAppu a krádež identity: podvod so 6-miestnym kódom

Na WhatsApp sa opakuje škodlivý vzorec: útočník začne registrovať vaše číslo na inom zariadení, aplikácia odošle overovací kód prostredníctvom SMS na legitímny telefón a potom vás kontaktuje a vydáva sa za člena rodiny, priateľa alebo dokonca údajného útočníka. technická podpora platformyPožiadajú vás o kód „omylom“ alebo na „overenie“ a ak ho prezradíte, stratíte kontrolu nad účtom.

Keď sú vnútri, môžu aktivovať dvojstupňové overenie, aby vám veci sťažili, písať vašim kontaktom so žiadosťou o peniaze cez Bizum alebo šíriť škodlivé odkazy. Objavili sa správy o hovoroch so zahraničnými predvoľbami, v ktorých sa ľudia vydávali za pracovníkov podpory, ktorí „zistili neoprávnené prihlásenie“, čo je alibi, ktoré znie vierohodne, ale má za cieľ... vytrhnite ten kritický kód.

Aby ste sa chránili: Nikdy nezdieľajte svoj šesťmiestny kód, povoľte dvojstupňové overenie v aplikácii WhatsApp (Nastavenia > Účet > Dvojstupňové overenie) a dávajte si pozor na urgentné správy, ktoré vás žiadajú o okamžitú reakciu. Ak vám niekto ukradol účet, skúste ho obnoviť vyžiadaním si nového kódu. aktivujte dvojstupňové overenie okamžite.

Taktiež čo najskôr informujte svoje kontakty, aby ste prerušili reťazec podvodov. Uschovajte si snímky obrazovky a správy ako dôkaz pre prípad, že by ste potrebovali podať sťažnosť. V Španielsku vám v prípadoch podvodu môže pomôcť horúca linka INCIBE 017. vydávanie sa za inú osobu a krádež účtu s bezplatným poradenstvom.

Výmena SIM karty: keď sa vaše číslo prenesie na niekoho iného

Výmena SIM karty je nadčasová klasika. Zločinci pomocou osobných údajov získaných sociálnym inžinierstvom (alebo únikmi) požiadajú vášho poskytovateľa siete o duplikát SIM karty. Zrazu stratíte pokrytie a po pripojení k Wi-Fi sa vám začnú zobrazovať upozornenia na podozrivú aktivitu. Cieľom je zachytiť... overovacia SMS a obnovenie prístupu.

Preventívne opatrenia: Správne nastavte zabezpečenie u svojho operátora, používajte viacfaktorovú autentifikáciu (MFA), ktorá sa nespolieha na SMS (kľúče FIDO alebo aplikácie s extra ochranou), sledujte upozornenia na zmeny vo vašom účte a ak neočakávane stratíte pokrytie, okamžite zavolajte svojmu operátorovi. V online službách si skontrolujte čísla na obnovenie a e-maily, aby ste zistili, či sa neoprávnené úpravy.

Falošné CAPTCHA kódy, ktoré inštalujú malvér: podvod typu „kopíruj a vlož“

Ďalšia rastúca taktika zneužíva falošné overenia CAPTCHA. Prostredníctvom reklám alebo presmerovaní sa dostanete na stránku, ktorá simuluje bezpečnostný test alebo chybu prehliadača. Systém vás požiada o skopírovanie príkazu – napríklad z PowerShellu – a jeho spustenie. Ak kliknete, stiahnete si Tichý malvér, ktorý kradne prihlasovacie údaje, súbory cookie a kryptomeny.

Tieto kampane si vyžiadali desiatky tisíc obetí v rôznych krajinách. Preventívne opatrenia sú jasné: ak vás stránka požiada o vykonanie príkazov, zatvorte kartu; nesťahujte nič, okrem tých z úplne dôveryhodných zdrojov; používajte spoľahlivý antivírus a správcu hesiel, aby ste minimalizovali škody v prípade napadnutia účtu. Informácie a upozornenia znížiť vplyv týchto kampaní.

Únos DNS: Keď zadáte správne, ale skončíte na webovej stránke útočníka

Únos DNS manipuluje s rozlíšením doménových mien, aby vás presmeroval na server ovládaný útočníkom. Zadáte správnu adresu, ale odpoveď DNS je skreslená a dostanete klon, ktorý vyžaduje prihlasovacie údaje alebo vás nabáda k stiahnutiu. malware bez vášho povšimnutia.

Zločinci môžu ohroziť smerovače, zachytiť DNS dotazy alebo upraviť záznamy na nezabezpečených poskytovateľoch. Hoci sa to niekedy používa na účely cenzúry, výsledok pre používateľa je rovnaký: ak záznam odkazuje na nesprávnu IP adresu, vaše údaje sú odhalené. Používajte šifrované DNS, kedykoľvek je to možné, a neignorujte ho. upozornenia na neplatný certifikát.

Stručný sprievodca osvedčenými postupmi proti pixnappingu a súvisiacim hrozbám

Existujú bežné pokyny, ktoré môžu posilniť vašu bezpečnosť pred Pixnappingom, škodlivými QR kódmi, únosom relácií a podvodmi so správami. Použite ich ako „opasok a traky“, aby ste znížili plochu útoku a získali čas proti novým variantom. Kľúčom je aktualizovať, nedôverovať a minimalizovať expozíciu.

• Udržiavajte Android a aplikácie aktuálne; uprednostňovať záplaty, ktoré zmierňujú vedľajšie kanály a úniky obrazovky, a ponechať Play Protect aktívny.
• Inštalujte iba z oficiálnych obchodov a zhodnoťte reputáciu vývojára; ak vám niečo zaváňa, odinštalujte ho a spustite antivírusovú kontrolu.
• Nezobrazujte citlivé kódy alebo údajePoužívajte kľúče FIDO alebo push schválenia namiesto viditeľného TOTP a skryte citlivé upozornenia na uzamknutej obrazovke.
• S QR kódom je nedôvera štandardneSkontrolujte fyzický kód, neotvárajte automatické odkazy a ak máte akékoľvek pochybnosti, zadajte webovú stránku.
• Nezdieľajte kódy prostredníctvom SMS alebo aplikácií; povoľte 2FA na všetkom a zavolajte svojmu operátorovi, ak bezdôvodne stratíte pokrytie (možná výmena SIM karty).
• Pre webové stretnutiaVyhýbajte sa verejným sieťam, v prípade potreby používajte VPN, overujte HTTPS, odhláste sa po citlivých úlohách a odvolajte podozrivé zariadenia.
• Nahlásiť podvod a škodlivé stránky oficiálnym kanálom (napr. INCIBE/OSI, národnej polícii alebo civilnej garde) s cieľom urýchliť blokády.

Čo robiť, ak je váš účet ukradnutý alebo sa vydáva za iný používateľ

Zhlboka sa nadýchnite a konajte metodicky. Najprv zdokumentujte všetko, čo sa stalo, pomocou snímok obrazovky a protokolov. Čím viac dôkazov, tým lepšie. Potom sa pokúste znovu získať prístup: zmeňte heslá, povoľte MFA a skontrolujte e-maily a čísla na obnovenie, či ich útočník neupravil. V prípade služieb so správou relácií, zatvorí všetky aktívne relácie okrem toho, ktorý používaš.

Informujte svoje kontakty o tom, čo sa stalo, aby ste predišli potenciálnym pokusom o podvod vo vašom mene. Nahláste to prostredníctvom kanálov, ktoré každá služba poskytuje (sociálne médiá, e-mail, správy), a ak došlo k poškodeniu alebo riziku pre vaše financie alebo identitu, zvážte podanie hlásenia Národnej polícii alebo Civilnej garde. V Španielsku vám horúca linka INCIBE 017 ponúka možnosť zavolať. špecializovaná a bezplatná pomoc.

Často kladené otázky o Pixnappingu

Ktoré mobilné telefóny sú ovplyvnené? Hoci testovanie prebiehalo na viacerých telefónoch Pixel (6, 7, 8, 9) a Galaxy S25, opísaný vedľajší kanál naznačuje, že väčšina moderných telefónov s Androidom by mohla byť ovplyvnená, kým nebudú k dispozícii hlbšie opatrenia na zmiernenie problémov na úrovni systému a hardvéru.

Funguje aktuálna záplata? Spoločnosť Google vydala chybu CVE-2025-48561 na zmiernenie šírenia vektora, ale verejné testovanie naznačuje, že útok bol stále uskutočniteľný. V decembrovom bulletine o systéme Android bolo oznámené ďalšie protiopatrenie: udržiavajte svoje zariadenie aktualizované. znižuje riziko, ale ho úplne neodstraňuje v túto chvíľu.

Dokážete ukradnúť skryté tajomstvá? Nie. Ak sa informácie nikdy nezobrazia na obrazovke, Pixnapping ich nedokáže zachytiť. Pomáha zníženie expozície TOTP a skrátenie času stráveného na obrazovke. znížiť pravdepodobnosť krádeže.

Ktoré aplikácie sú v centre pozornosti? Akákoľvek aplikácia, ktorá zobrazuje citlivé informácie. V testovaní: Gmail, účty Google, Signal, Google Authenticator, Venmo a Mapy Google. Vektor je priečny a ovplyvňuje rôzne typy aplikácií.

Celkový obraz je jasný: útočníci útočia na to, čo vidíme a čo bezmyšlienkovite schvaľujeme. Posilnenie autentifikácie pomocou FIDO alebo push keys, obmedzenie viditeľnosti citlivých údajov a opatrnosť pri tom, čo skenujeme alebo inštalujeme, majú význam. Kým nedospejú nízkoúrovňové záplaty a nebudú integrované vo všetkých výrobcoch, kombinácia rýchlych aktualizácií s... dobré návyky digitálnej hygieny Je to najúčinnejší spôsob, ako udržať riziká ako Pixnapping a podobné na uzde.