كشف باحثون أكاديميون عن ثغرة أمنية جديدة في أندرويد تُدعى بيكسنابينغ، والتي تسمح للتطبيقات الضارة بسرقة رموز التحقق الثنائي (2FA) والرسائل الخاصة وبيانات مرئية أخرى دون الحاجة إلى أذونات. الهجوم، الذي يستغرق أقل من 30 ثانية، يستغل أوقات عرض الشاشة وقد تم توضيحه على هواتف جوجل بيكسل وسامسونج جالاكسي S25. أصدرت جوجل تدابير تخفيف جزئية، مع خطط لتصحيحات إضافية.
يتطلب هجوم بيكسنابينغ من الضحية تثبيت تطبيق ضار، الذي يستخدم ثم واجهات برمجة تطبيقات أندرويد لتحفيز التطبيقات المستهدفة على عرض معلومات حساسة على الشاشة. دون أي أذونات خاصة، يقوم التطبيق بعمليات رسومية على بكسلات محددة وقياس أوقات العرض لإعادة بناء البيانات بكسل بكسل، مما يعمل فعليًا كلقطة شاشة غير مصرح بها.
"أي شيء مرئي عند فتح التطبيق المستهدف يمكن سرقته بواسطة التطبيق الضار باستخدام بيكسنابينغ"، قال الباحثون على موقعهم الإعلامي. يشمل ذلك رسائل الدردشة ورموز 2FA ومحتوى البريد الإلكتروني، لكن ليس البيانات المخفية مثل المفاتيح السرية المخزنة.
يتميز العملية بثلاث خطوات: أولاً، يستدعي التطبيق الضار واجهات برمجة التطبيقات مثل الأنشطة والنوايا والمهام لفحص وفتح التطبيقات المستهدفة، وإرسال بياناتها إلى خط أنابيب العرض. ثانيًا، يتحقق من ألوان البكسلات في إحداثيات مختارة، مع التمييز بين الأبيض وغير الأبيض عن طريق تراكب نوافذ ضارة. ثالثًا، يجمع قياسات أوقات العرض لإعادة بناء الصورة.
اختبر الباحثون الهجوم على هواتف جوجل بيكسل 6 و7 و8 و9، مستعيدين بنجاح رموز 2FA كاملة من 6 أرقام من جوجل أوثنتيكيتور في 73% و53% و29% و53% من التجارب على التوالي، بمتوسط 14 إلى 26 ثانية. كان أقل فعالية على سامسونج جالاكسي S25 بسبب الضوضاء. شرح المؤلف الرئيسي ألان لينغهاو وانغ: "هذا يسمح للتطبيق الضار بسرقة معلومات حساسة معروضة بواسطة تطبيقات أخرى أو مواقع ويب تعسفية، بكسل بكسل".
يذكر بيكسنابينغ هجوم GPU.zip لعام 2023، الذي استخدم قنوات جانبية مشابهة لـ GPU لكنه تم التخفيف منه في المتصفحات. أصدرت جوجل تصحيحًا لـ CVE-2025-48561 في سبتمبر، يعالج المشكلة جزئيًا، مع آخر في ديسمبر. أشار ممثل عن جوجل: "لم نرَ أي دليل على استغلال في البرية". تبرز البحث حدود عزل التطبيقات في أندرويد، على الرغم من أن تحديات التنفيذ في العالم الحقيقي قد تقلل من عمليتها.