学術研究者らが、Pixnappingと呼ばれる新しいAndroidの脆弱性を明らかにした。この脆弱性により、悪意あるアプリが許可を必要とせずに2FAコード、プライベートメッセージ、および他の表示可能なデータを盗むことができる。この攻撃は30秒未満で完了し、画面のレンダリング時間を悪用するもので、Google Pixel電話とSamsung Galaxy S25で実証された。Googleは部分的な緩和策をリリースし、さらなるパッチを計画中。
Pixnapping攻撃では、被害者が悪意あるアプリをインストールする必要があり、このアプリはAndroidのプログラミングインターフェースを使用して、対象アプリに機密情報を画面に表示させる。特別な許可なしに、アプリは特定のピクセル上でグラフィカルな操作を実行し、レンダリング時間を測定してデータをピクセルごとに再構築し、実質的に不正なスクリーンショットとして機能する。
「対象アプリが開かれたときに表示されるものは何でも、Pixnappingを使用して悪意あるアプリによって盗まれる可能性がある」と、研究者らは情報ウェブサイトで述べた。これにはチャットメッセージ、2FAコード、メール内容が含まれるが、保存された秘密鍵などの隠れたデータは含まれない。
プロセスは3つのステップで進行する:まず、悪意あるアプリはアクティビティ、インテント、タスクなどのAPIを呼び出して対象アプリをスキャンし開き、そのデータをレンダリングパイプラインに送信する。第二に、選択した座標のピクセル色をチェックし、悪意あるウィンドウを重ねて白と非白を区別する。第三に、レンダリング時間の測定を組み合わせ、画像を再構築する。
研究者らはGoogle Pixel 6、7、8、9電話で攻撃をテストし、Google Authenticatorから完全な6桁の2FAコードをそれぞれ73%、53%、29%、53%の試行で正常に回復し、平均14〜26秒かかった。Samsung Galaxy S25ではノイズのため効果が低かった。主要著者のAlan Linghao Wang氏は、「これにより、悪意あるアプリは他のアプリや任意のウェブサイトによって表示される機密情報を、ピクセルごとに盗むことができる」と説明した。
Pixnappingは2023年のGPU.zip攻撃を想起させるもので、同様のGPUサイドチャネルを使用したが、ブラウザで緩和された。Googleは9月にCVE-2025-48561のパッチを発行し、問題を部分的に解決し、12月に別のものを発行した。Googleの代表者は、「野生での悪用証拠は見つかっていない」と述べた。この研究はAndroidのアプリ分離の限界を強調するが、現実世界での実装課題がその実用性を低下させる可能性がある。