Hakeri bi domišljatom metodom Pixnapping sa zaraženih uređaja mogli da izvuku čak i 2FA kodove pre nego što isteknu.
Grupa bezbednosnih istraživača sa nekoliko američkih univerziteta identifikovala je ranjivost u Android operativnom sistemu pod nazivom Pixnapping. Napad omogućava da se sa zaraženih uređaja izvuku kodovi za dvofaktorsku autentifikaciju (2FA), privatne prepiske i podaci o lokaciji.
Za sprovođenje napada potrebno je da žrtva instalira zlonamernu aplikaciju. Ono što Pixnapping čini posebno opasnim jeste činjenica da aplikacija ne zahteva sistemske dozvole kako bi pristupila podacima drugih aplikacija. Napad je demonstriran na telefonima Google Pixel i Samsung Galaxy S25.
Pixnapping funkcioniše kroz iskorišćavanje bočnog kanala GPU.ZIP tehnologije, koja analizira vreme potrebno za prikaz grafičkih frejmova. Zlonamerna aplikacija, pomoću Android softverskih interfejsa, aktivira ciljnu aplikaciju da prikaže osetljive podatke na ekranu. Nakon toga vrši se analiza pojedinačnih piksela, a merenjem vremena obrade određuje se njihova boja, čime se rekonstruše slika prikazana na ekranu.
Glavni autor istraživanja, Alan Vang, objasnio je da se napad sprovodi u tri faze. U prvoj, zlonamerna aplikacija aktivira ciljnu aplikaciju kroz Android API. U drugoj se analiziraju pikseli da bi se odredila njihova boja. U trećoj fazi meri se vreme obrade svake koordinate, što omogućava rekonstrukciju kompletne slike.
Testovi su pokazali da je napad na Google Pixel telefonima uspeo da pravilno rekonstruiše šestocifrene kodove za dvofaktorsku autentifikaciju sa preciznošću od 29% do 73%, u zavisnosti od modela. Prosečno vreme potrebno za krađu jednog koda bilo je između 14 i 26 sekundi - dovoljno da se iskoristi u okviru 30 sekundi važenja koda. Na Samsung Galaxy S25 uređajima kodovi nisu mogli da se izvuku zbog visokog nivoa šuma u GPU procesima.
Google je u septembarskoj Android bezbednosnoj zakrpi objavio delimičnu ispravku za ranjivost interno nazvanu CVE-2025-48561, dok je potpuna zakrpa planirana za decembarsko bezbednosno ažuriranje. Predstavnici kompanije naveli su da do sada nisu zabeleženi slučajevi zloupotrebe ove ranjivosti u realnim uslovima.