Trong thế giới bảo mật di động, các nhà nghiên cứu đã phát hiện ra một cuộc tấn công mới tinh vi cho phép các ứng dụng độc hại đọc nội dung trên màn hình của bạn mà không cần xin bất kỳ quyền đặc biệt nào. Kỹ thuật có tên Pixnapping này đã thổi bùng lên cuộc thảo luận sôi nổi giữa các chuyên gia bảo mật và người dùng Android về các biện pháp bảo vệ cơ bản trên thiết bị di động.
Pixnapping Đánh Cắp Dữ Liệu Của Bạn Như Thế Nào, Từng Pixel Một
Cuộc tấn công hoạt động thông qua một quy trình ba bước tinh vi, khai thác cách thức Android xử lý kết xuất đồ họa. Đầu tiên, một ứng dụng độc hại lừa các ứng dụng khác hiển thị thông tin nhạy cảm như mã xác thực hai yếu tố hoặc tin nhắn riêng tư. Sau đó, nó thực hiện các thao tác đồ họa trên từng pixel riêng lẻ trong khi đo lường sự khác biệt thời gian cực nhỏ về thời gian mỗi pixel cần để kết xuất. Cuối cùng, bằng cách kết hợp các phép đo thời gian này, kẻ tấn công có thể từ từ tái tạo lại những gì trên màn hình của bạn, từng pixel một.
Điều khiến cộng đồng bảo mật đặc biệt quan tâm là ứng dụng độc hại không yêu cầu bất kỳ quyền Android đặc biệt nào để thực hiện cuộc tấn công này. Như một bình luận viên nhận xét, Việc ứng dụng không yêu cầu quyền là điểm đáng chú ý ở đây. Tôi nghĩ các ứng dụng phải được ngăn cách với nhau trừ khi được cấp quyền rõ ràng. Điều này vượt qua mô hình bảo mật truyền thống, nơi người dùng kỳ vọng rằng việc từ chối cấp quyền sẽ bảo vệ được dữ liệu của họ.
Cuộc tấn công này dường như đang khai thác một cách rõ ràng đường ống kết xuất của Android thông qua một kênh bên.
Mức độ tinh vi về mặt kỹ thuật của Pixnapping đã thu hút cả sự ngưỡng mộ lẫn lo ngại từ các chuyên gia bảo mật. Cuộc tấn công tận dụng cùng kênh bên GPU.zip được phát hiện vào năm 2023, vốn khai thác sự khác biệt về thời gian nén trong các đơn vị xử lý đồ họa. Điều này cho thấy các lỗ hổng trong các thành phần phần cứng cơ bản có thể kích hoạt các lớp tấn công phần mềm mới như thế nào.
Chi Tiết Kỹ Thuật Chính:
- Yêu cầu: Cài đặt ứng dụng độc hại (không cần quyền truy cập)
- Khai thác: Kênh kề GPU.zip thông qua pipeline kết xuất của Android
- Mục tiêu: Bất kỳ nội dung hiển thị nào trên màn hình (mã 2FA, tin nhắn, email)
- Phương thức: Tấn công timing trên quá trình kết xuất pixel, 16 mẫu cho mỗi pixel mục tiêu
- Hạn chế: Không thể truy cập dữ liệu không hiển thị, yêu cầu nội dung mục tiêu phải có trên màn hình
Tác Động Thực Tế và Mối Quan Tâm Của Người Dùng
Đối với người dùng Android thông thường, các hệ quả thực tế là rất đáng kể. Nghiên cứu cho thấy Pixnapping có thể đánh cắp thành công mã 2FA từ Google Authenticator với tỷ lệ thành công khác nhau trên các dòng Pixel - đạt 73% trên thiết bị Pixel 6. Cuộc tấn công hoạt động trong khoảng thời gian 30 giây quan trọng khi mã 2FA còn hiệu lực, biến nó thành mối đe dọa thực sự đối với bảo mật tài khoản.
Thảo luận trong cộng đồng đã nêu bật một số khía cạnh đáng lo ngại của lỗ hổng này. Nhiều người dùng tỏ ra ngạc nhiên khi Android cho phép ứng dụng gọi các ứng dụng khác và vẽ đè lên nội dung của chúng mà không cần quyền rõ ràng. Cũng có mối quan ngại về sự phổ biến của các phần mềm rác được cài sẵn và các ứng dụng được đề xuất cài đặt tự động mà có khả năng chứa các cuộc tấn công như vậy. Như một bình luận viên chỉ ra, 90% người dùng Android không rành về kỹ thuật thì 100% bị phơi nhiễm trước lỗ hổng này.
Phạm vi tấn công rộng hơn nhiều so với những gì nhiều người nhận ra. Mặc dù ứng dụng độc hại cần được người dùng mở lên, nhưng các lần chạm nhầm hoặc ứng dụng được ngụy trang có thể kích hoạt khai thác. Một số người dùng chia sẻ kinh nghiệm chắc chắn đã mở nhầm ứng dụng trên điện thoại thông minh - siêu dễ chạm nhầm thứ gì đó trong nhiều tình huống khác nhau.
Tỷ lệ thành công của tấn công Pixnapping theo thiết bị:
- Pixel 6: Tỷ lệ thành công 73%, thời gian khôi phục trung bình 14,3 giây
- Pixel 7: Tỷ lệ thành công 53%, thời gian khôi phục trung bình 25,8 giây
- Pixel 8: Tỷ lệ thành công 29%, thời gian khôi phục trung bình 24,9 giây
- Pixel 9: Tỷ lệ thành công 53%, thời gian khôi phục trung bình 25,3 giây
- Samsung Galaxy S25: Không thể rò rỉ mã 2FA trong vòng 30 giây do nhiễu đáng kể
Chiến Lược Giảm Thiểu Rủi Ro và Thách Thức Đang Tiếp Diễn
Google đã thừa nhận vấn đề và phát hành các bản vá ban đầu, với đại diện tuyên bố họ đã đưa ra bản vá cho CVE-2025-48561 trong bản tin bảo mật Android tháng Chín và lên kế hoạch sửa chữa bổ sung vào tháng Mười Hai. Tuy nhiên, các nhà nghiên cứu nhận thấy rằng các phiên bản sửa đổi của cuộc tấn công có thể vượt qua các biện pháp bảo vệ ban đầu này.
Cộng đồng bảo mật đã đề xuất một số biện pháp phòng thủ thực tế. Sử dụng các ứng dụng xác thực có màn hình riêng tư yêu cầu xác minh sinh trắc học sẽ ngăn chặn cuộc tấn công bằng cách giữ thông tin nhạy cảm ở trạng thái ẩn cho đến khi được xác thực. Thận trọng khi cài đặt ứng dụng và sử dụng các công cụ như Universal Android Debloater để gỡ bỏ các ứng dụng cài sẵn không cần thiết có thể làm giảm mức độ phơi nhiễm.
Một số giải pháp kỹ thuật được đề xuất bao gồm việc đưa vào yếu tố nhiễu thời gian ngẫu nhiên trong quá trình kết xuất để che giấu kênh bên, mặc dù điều này sẽ đòi hỏi những thay đổi cơ bản đối với đường ống đồ họa của Android. Cuộc thảo luận cũng đề cập đến việc liệu các lỗ hổng tương tự có thể ảnh hưởng đến các nền tảng khác hay không, với những người dùng thắc mắc liệu thiết kế tập trung vào bảo mật của Wayland hoặc iOS có thể cung cấp khả năng bảo vệ tốt hơn chống lại các cuộc tấn công như vậy.
Việc phát hiện ra Pixnapping đánh dấu một chương mới trong cuộc chiến đang diễn ra giữa các nhà nghiên cứu bảo mật và những kẻ tấn công tiềm năng. Mặc dù cuộc tấn công đòi hỏi trình độ kỹ thuật đáng kể và chưa được quan sát thấy trong thực tế, nó cho thấy những kẻ tấn công quyết tâm có thể tìm ra những cách sáng tạo như thế nào để vượt qua các biện pháp bảo vệ bảo mật di động. Đối với người dùng Android, đây là lời nhắc nhở hãy luôn cảnh giác với các ứng dụng họ cài đặt và cập nhật thiết bị của mình với các bản vá bảo mật mới nhất.
Tham khảo: Hackers can steal 2FA codes and private messages from Android phones