Un gruppo di ricercatori universitari ha appena svelato una nuova e pericolosa classe di attacchi che prende il nome di Pixnapping. Il messaggio è chiaro e sconcertante, con un’app dannosa installata sul dispositivo, e senza necessità di autorizzazioni speciali, è possibile estrarre in modo furtivo informazioni visualizzate da altre app in meno di 30 secondi, tra cui i codici per l’autenticazione a due fattori (2FA).
La dimostrazione pratica è stata eseguita con successo su dispositivi Google Pixel e su un Samsung Galaxy S25, e il paper sarà presentato alla 32ª Conferenza ACM sulla sicurezza informatica e delle comunicazioni di Taipei.
Indice:
In cosa consiste l’attacco Pixnapping
Pixnapping sfrutta una combinazione di meccanismi legittimi di Android e di un side-channel hardware per far fuoriuscire pixel sensibili dalla pipeline di rendering di sistema, senza mai scattare uno screenshot nel senso tradizionale del termine. Il flusso operativo, semplificato, è il seguente:
- l’app malevola richiama (via intent) l’app vittima, costringendola a renderizzare sullo schermo le informazioni sensibili (per esempio il codice 2FA mostrato da un authenticator)
- l’attaccante induce operazioni grafiche mirate su singoli pixel (ad esempio sfruttando l’API di blur delle finestre), in modo da forzare variazioni temporali nel rendering di quei pixel
- attraverso un canale laterale (come GPU.zip) viene misurato il tempo di rendering di pixel specifici e, ripetendo l’operazione per i pixel necessari, si ricostruisce il contenuto visivo (OCR sui pixel recuperati)
Detto in altri termini, non si rubano segreti in memoria, ma si fotografano i pixel che compongono una scritta, carattere dopo carattere, mediante misurazioni temporali; un side-channel elegante e subdolo, perché non richiede permessi e può restare nascosto all’utente.
Dispositivi testati
I ricercatori hanno implementato Pixnapping su cinque telefoni (con Android da 13 a 16) e hanno dimostrato l’attacco su Pixel 6, Pixel 7, Pixel 8, Pixel 9 e Samsung Galaxy s25. In test contro Google Authenticator i risultati sono stati significativi, il codice a sei cifre è stato recuperato con successo nel 73% dei tentativi su Pixel 6 e nel 54% su Pixel 9, con un tempo medio di recupero compreso tra 14,3 e 25,8 secondi a seconda del modello, quindi comodamente entro al finestra di validità tipica dei 2FA basati su OTP.
Google è già intervenuta, ma serve un’ulteriore patch correttiva
Google ha rilasciato una prima contromisura limitando il numero di attività su cui un’app può invocare la sfocatura, ma i ricercatori sono riusciti a trovare una soluzione alternativa che aggira la patch, soluzione che per ovvi motivi rimane sotto embargo fino alle comunicazioni ufficiali.
Un portavoce di Google ha confermato che la patch attuale mitiga solo parzialmente Pixnapping e che è prevista una patch aggiuntiva a dicembre 2025; al momento, secondo l’azienda, non risultano exploit osservabili nel concreto. Va inoltre ricordato che il canale laterale (GPU.zip) dipende anche da componenti hardware e software delle GPU e dei driver, e al momento né Qualcomm né MediaTek hanno annunciato correzioni specifiche.
Cosa possono fare utenti e sviluppatori per proteggersi da Pixnapping
Per gli utenti le raccomandazioni sono più o meno sempre le stesse:
- installare gli aggiornamenti di sistema non appena disponibili
- evitare di installare app da sorgenti non ufficiali, il sideload rimane infatti la via più comune per introdurre app malevole sul dispositivo
- limitare al minimo le app con privilegi non necessari e controllare Play Protect
Per quanto riguarda gli sviluppatori invece, al momento non esistono mitigazioni semplici lato app per bloccare completamente Pixnapping, ma è consigliabile rivedere come e quando si visualizzano informazioni sensibili, ad esempio minimizzare la persistenza visiva di token sensibili e valutare meccanismi di offuscamento temporaneo che riducano la finestra di esposizione (anche se non sono soluzioni definitive).
Implicazioni più ampie
È importante sottolineare che Pixnapping non si limita ai soli codici 2FA, qualsiasi dato visibile nell’app bersaglio (chat, email, mappe, ecc.) può essere teoricamente estratto, purché sia mostrato sullo schermo. Ciò mette in discussione non solo la sicurezza di singole applicazioni, ma anche la fiducia nelle garanzie offerte dall’ecosistema Android riguardo alla separazione visiva tra applicazioni. Inoltre, la vulnerabilità include anche una tecnica per bypassare l’elenco delle app installate, utilizzabile per profilare gli utenti senza dichiarare autorizzazioni nel manifest, un ulteriore elemento che complica la superficie d’attacco.
Pixnapping è stato registrato con CVE-2025-48561, il che facilita il tracciamento della vulnerabilità e coordina gli sforzi di mitigazione tra produttori, sviluppatori e ricercatori.
Pixnapping è dunque una nuova classe di attacchi che sfrutta vecchie e nuove debolezze (vecchie nelle logiche del side-channel, nuove nel contesto delle moderne pipeline grafiche e delle API di Android), non è un attacco banale da mettere in pratica e questo limita al momento l’immediatezza del rischio; tuttavia i numeri sono sufficienti a renderlo un problema reale che richiede interventi coordinati: patch di sistema, eventuali fix dei vendor di GPU, aggiornamenti di policy sui permessi e, lato utente, attenzione estrema al sideload e alla gestione dei 2FA.
- Occhio a ClayRat, lo spyware Android che controlla il dispositivo e si auto-diffonde
- Google elimina oltre 200 app dal Play Store a causa della campagna SlopAds
- Google Play Store vittima di un’enorme campagna fraudolenta: rimosse oltre 200 app
- Grave bug per la sicurezza nei Samsung Galaxy da Android 13 in poi: ecco la soluzione