Pixnapping: Hình thức đánh cắp dữ liệu nhạy cảm mới trên Android trong 30 giây

một giờ trướcBài gốc

Ảnh minh họa. Ảnh: BRG.

Lỗ hổng này đã được gán mã CVE-2025-48561. Sau khi được tiết lộ cho Google vào tháng 2/2025, Google đã đánh giá Pixnapping là "Mức độ nghiêm trọng cao" vào tháng 4/2025. Trong quá trình thử nghiệm, Pixnapping đã thành công trích xuất mã xác thực hai yếu tố (2FA codes) từ Google Authenticator trong vòng chưa đầy 30 giây.

Cơ chế tấn công Pixnapping: Lạm dụng hệ thống kết xuất

Cuộc tấn công Pixnapping hoàn toàn bỏ qua mô hình cấp phép của Android. Ứng dụng độc hại không cần khai báo bất kỳ quyền đặc biệt nào trong tệp kê khai ứng dụng của nó.

Pixnapping hoạt động bằng cách thao túng hệ thống kết xuất (rendering system) của Android để buộc các pixel nhạy cảm phải trải qua các thao tác đồ họa, sau đó đo lường sự khác biệt thời gian rất nhỏ để tái tạo nội dung hiển thị.

Phạm vi dữ liệu và thiết bị bị ảnh hưởng

Pixnapping có khả năng đánh cắp bất kỳ nội dung nào hiển thị trên màn hình.

Các loại dữ liệu nhạy cảm có thể bị đánh cắp bao gồm: Mã xác thực hai yếu tố (2FA codes) từ Google Authenticator; Khóa cá nhân và cụm từ hạt giống (seed phrases) của ví tiền điện tử; Tin nhắn từ ứng dụng liên lạc được mã hóa như Signal và Google Messages; Dữ liệu tài chính từ Venmo; Nội dung email từ Gmail; Lịch sử vị trí từ Google Maps Timeline.

Các nhà nghiên cứu đã thử nghiệm lỗ hổng trên các thiết bị Google Pixel 6, 7, 8, và 9 cùng với Samsung Galaxy S25. Cuộc tấn công thành công trên các thiết bị Pixel, với thời gian trung bình để phục hồi mã 2FA trên Pixel 6 là 14.3 giây. Tuy nhiên, các nhà nghiên cứu không thể trích xuất mã 2FA trong vòng 30 giây trên Samsung Galaxy S25 do "nhiễu đáng kể". Mặc dù vậy, cơ chế cốt lõi cho phép cuộc tấn công hoạt động thường có sẵn trong hầu hết các thiết bị Android hiện đại.

Sau khi được tiết lộ cho Google vào tháng 2/2025, Google đã cố gắng vá lỗi Pixnapping. Bản vá ban đầu được phát hành vào ngày 2/9/2025, bằng cách hạn chế số lượng hoạt động mà một ứng dụng có thể gọi thao tác làm mờ. Tuy nhiên các nhà nghiên cứu đã phát hiện ra rằng bản vá không đủ để bảo vệ các thiết bị Samsung.

Hiện Google đang phát triển các bản vá bổ sung, dự kiến sẽ xuất hiện trong bản tin bảo mật Android tháng 12/2025. Google cũng cho biết họ chưa thấy bất kỳ bằng chứng nào về việc lỗ hổng này bị khai thác trên thực tế.

Lời khuyên quan trọng nhất từ các nhà nghiên cứu là cài đặt các bản vá Android ngay khi chúng có sẵn. Đối với người dùng tiền điện tử, nên sử dụng ví cứng (hardware wallets) để lưu trữ khóa cá nhân/cụm từ hạt giống, tránh hiển thị thông tin nhạy cảm trên các thiết bị kết nối Internet.

Hiền Thảo

Nguồn Doanh Nghiệp : https://doanhnghiepvn.vn/kinh-doanh-va-tieu-dung/pixnapping-hinh-thuc-danh-cap-du-lieu-nhay-cam-moi-tren-android-trong-30-giay/20251124020957818