Akademik araştırmacılar, kötü amaçlı Android uygulamalarının, kendilerine herhangi bir işletim sistemi izni verilmeden diğer uygulamalardan hassas verileri çalmasına olanak tanıyan yeni bir saldırı tasarladı ve gösterdi.
Pixnapping olarak adlandırılan saldırı, test sırasında Google Authenticator’dan iki faktörlü kimlik doğrulama kodlarının yanı sıra şifreli iletişim uygulaması Signal’den gelen mesajları, Venmo’dan finansal verileri ve Gmail’den e-posta içeriğini başarıyla çıkardı.
Kaliforniya, Berkeley ve San Diego, Washington ve Carnegie Mellon üniversitelerinden bir ekip, güvenlik açığını Google Pixel 6, 7, 8 ve 9 modellerinin yanı sıra Samsung Galaxy S25 üzerinde test etti.
Pixel cihazlarına yönelik saldırıları başarılı oldu ancak yüzde 100 başarı oranı sağlanamadı. Pixnapping’in Galaxy S25’e karşı çalışmasını sağlayamadılar
Araştırmacılar, “Önemli gürültü nedeniyle Samsung Galaxy S25 cihazındaki uygulamamızı kullanarak 30 saniye içinde 2FA kodlarını sızdıramıyoruz” diye yazdı.
Kimlik doğrulama kodları bu süre içinde yenilendiğinden 30 saniyelik aralık seçildi.
Pixnapping, Android’in tüm izin modelini atlıyor; bu, kullanıcıların ekran verilerini çalabilecek kötü amaçlı uygulamaların kurulumu sırasında hiçbir uyarı işaretine sahip olmadığı anlamına geliyor.
Bir uygulama açıldığında ekranda görünen herhangi bir içerik, sohbet mesajları, kimlik doğrulama kodları ve e-posta yazışmaları da dahil olmak üzere hırsızlık için adil bir oyun haline gelir.
Pixnapping, hassas pikselleri grafiksel işlemler yoluyla zorlamak için Android’in işleme sistemini manipüle ederek, ardından görüntülenen içeriği yeniden oluşturmak için küçük zamanlama farklılıklarını ölçerek çalışır.
Saldırı, belirli pikseller üzerinde grafiksel işlemler başlatmak için Android’in pencere bulanıklaştırma API’sinden yararlanırken, ayrı ayrı piksel değerlerini çıkarmak için oluşturma süresini yeterli hassasiyetle ölçmek amacıyla ekran dikey senkronizasyon geri çağrılarını kullanıyor.
Bu piksel piksel çıkarma, sonunda optik karakter tanımayı çalıştırmak ve orijinal hassas bilgiyi kurtarmak için yeterli veri sağlar.
Kavramsal olarak araştırmacılar, bunun, Android’in ekran görüntüsü algılama mekanizmalarını tetiklemeden, asla erişmemesi gereken içeriğin ekran görüntülerini alan kötü amaçlı bir uygulamaya benzediğini söyledi.
Pixnapping’in istismar ettiği zayıflık, araştırmacıların 2023’te yayınladığı bir grafik işlemci yan kanal güvenlik açığı olan GPU.zip’tir.
GPU.zip, Spectre ve Meltdown’un CPU yan kanallarından yararlanmasına benzer şekilde, uygulamaların grafik oluşturmadaki zamanlama değişikliklerini ölçerek GPU işlemleri hakkında bilgi çıkarmasına olanak tanır.
Bu yazının yazıldığı sırada hiçbir GPU satıcısı GPU.zip’e yama yapma konusunda kamuya açık bir taahhütte bulunmadı.
Google, araştırmacıların Şubat ayında Pixnapping’i şirkete açıklamasının ardından bu yıl Nisan ayında güvenlik açığını “yüksek önem derecesi” olarak değerlendirdi.
Bir uygulamanın bulanıklaştırma işlemlerini başlatabileceği etkinlik sayısını sınırlayarak 2 Eylül ABD saatine göre bir yama ile Pixnapping’i hafifletmeye çalıştı, ancak araştırmacılar yalnızca iki gün sonra düzeltme için bir geçici çözüm geliştirdiler.
Bu geçici çözüm aynı zamanda “yüksek önem” olarak derecelendirildi ve Google, Aralık Android güvenlik bülteninde yayınlanması planlanan ek yamalar geliştirirken ambargo altında kalmaya devam ediyor.
Araştırmacılar, teknoloji devinin, uygulamaların bir cihazda başka hangi uygulamaların yüklü olduğunu belirlemesine olanak tanıyan ve kullanıcıların profilini çıkarmak için kullanılabilecek ilgili bir güvenlik açığını düzeltmeyi de reddettiğini söyledi.
Bu uygulama listeleme atlaması, belirli bildirimler gerektiren önceki hilelerin aksine, kötü amaçlı uygulamanın bildirim dosyasında hiçbir şey gerektirmez.
Araştırmacılar, bireysel uygulamaları Pixnapping’e karşı korumaya yönelik etkili azaltma stratejilerinin farkında olmadıklarını söyledi ancak Android’in, geliştiricilerin şeffaf katmanlamayı kısıtlamasına veya bu gerçekleştiğinde hassas görsel içeriği gizlemesine izin verebileceğini öne sürdü.
Şu anda kullanıcılara tavsiyeleri, Android yamalarını çıktıkları anda yüklemeleridir.
Saldırı, Android’in güvenli olduğu düşünülen izin modelinin, meşru sistem API’lerinin yaratıcı bir şekilde kullanılması yoluyla atlatılabileceğini gösteriyor.
Araştırmacılar, benzer saldırıların Apple iOS veya diğer mobil platformlarda mümkün olup olmadığını henüz araştırmadı.
Pixnapping’in kaynak kodu, Android için kapsamlı yamalar kullanıma sunulduğunda GitHub’da yayınlanacak.
Pixnapping, İngiliz güvenlik araştırmacısı Paul Stone’un 2013 tarihli çalışmasından ilham aldı. HTML5 ile Pixel Perfect Timing Saldırıları mevcut takıma ilham kaynağı oldu.
Güvenlik açığına Ortak Güvenlik Açıkları ve Etkilenmeler dizininde CVE-2025-48561 atanmıştır.