Güvenlik araştırmacıları, Google Authenticator’dan ve diğer hassas mobil uygulamalardan iki faktörlü kimlik doğrulama kodlarını 30 saniyeden kısa sürede çıkarabilen “Pixnapping” adı verilen yeni ve gelişmiş bir saldırı tekniğini ortaya çıkardı.
Pixnapping, kurban uygulamalardan piksel verilerini çalan bir yan kanal saldırısı oluşturmak için Android’in grafik işleme sisteminin temel özelliklerinden yararlanıyor.
Web sitelerini iframe’lere yerleştirmeye dayanan geleneksel tarayıcı tabanlı piksel çalma saldırılarının aksine, bu yeni teknik, kurban uygulamaları başlatmak ve bunların üzerine yarı şeffaf, saldırgan tarafından kontrol edilen etkinlikleri katmanlamak için Android niyetlerini kullanıyor.
CVE-2025-48561 olarak takip edilen güvenlik açığı, modern tarayıcı güvenlik korumalarını aşan ve birden fazla cihaz üreticisindeki Android kullanıcılarını tehdit eden piksel çalma saldırılarında önemli bir evrimi temsil ediyor.
Saldırı, Android’in SurfaceFlinger hizmetinin birden fazla pencereyi nasıl bir araya getirerek kötü amaçlı uygulamaların dikkatli bir şekilde düzenlenmiş bulanıklaştırma işlemleri ve zamanlama ölçümleri yoluyla kurban uygulamalardan ayrı ayrı pikselleri izole etmesine, büyütmesine ve ayıklamasına olanak tanıyor.
Çerçeve üç temel adımda çalışır. İlk olarak, saldırgan uygulama, kurban uygulamalardan dışa aktarılan etkinlikleri açmak için Android niyetlerini göndererek piksellerini işleme hattına gönderiyor.
İkinci olarak saldırgan, bireysel kurban pikselleri üzerinde hesaplama yapmak için maskeleme, büyütme ve kodlama tekniklerini kullanan yarı şeffaf etkinliklerden oluşan bir yığın oluşturur.
Son olarak saldırı, piksel renk bilgisini sızdırmak için grafiksel veri sıkıştırma gibi desene bağlı GPU optimizasyonlarının neden olduğu işleme süresi farklılıklarını ölçer.
Araştırmacılar, saldırıyı Google Pixel 6, 7, 8 ve 9 cihazlarının yanı sıra Samsung Galaxy S25 telefonlarında da başarılı bir şekilde gösterdiler ve cihaza bağlı olarak saniyede 0,15 ila 2,11 piksel arasında sızıntı oranlarına ulaştılar.
İki Faktörlü Kimlik Doğrulama Kodları
Pixnapping’in en endişe verici örneği, Google Authenticator’dan geçici 2FA kodlarının süreleri dolmadan çalınmasıdır.
Kullanıcı e-posta görüntüleme etkinliğinde geri düğmesine bastığında, bu etkinlik arka yığından kaldırılır ve Gelen Kutusu etkinliği sürdürülür.
Faaliyetin açık amacıD.
Araştırmacılar, karakter görüntülerinin tamamını kurtarmak yerine, rakam başına yalnızca dört dikkatlice seçilmiş pikseli sızdırarak rakamları tanımlayan, optimize edilmiş OCR tarzı bir teknik kullanarak, kritik 30 saniyelik yenileme penceresi içinde altı haneli kodların tamamını kurtarmada %53-73 başarı oranı elde etti.
Google Pixel cihazlarda ortalama çıkarma süresi 14,3 ila 25,8 saniye arasında değişirken Pixel 6, ortalama 14,3 saniye ile en hızlı performansı sergiledi.
Saldırı, hiçbir özel Android izni gerektirmiyor ve kötü amaçlı etkinlikleri, zararsız içeriği görüntüleyen hafif şeffaf bir katmanın altına gizleyerek gizlice çalışıyor.
Kullanıcı saldırganın uygulamasını yükleyip başlattıktan sonra başka bir kullanıcı etkileşimine gerek kalmaz. Bu teknik, Google Authenticator’ın arayüzündeki değişken genişlikli yazı tipleri ve boşluklar için dinamik olarak ayarlama yapar ve mevcut zaman penceresini en üst düzeye çıkarmak için çıkarma işlemini başlatmadan önce 30 saniyelik yeni bir aralığın başlamasını bekler.
Google Authenticator saldırısı zamana en duyarlı gösteriyi temsil ederken, Pixnapping çok daha geniş bir hassas veri yelpazesini tehdit ediyor.
Değeri iletmek için GPU.zip gibi desene bağlı optimizasyonları hedefliyoruz.
kurban pikseli.
Google telefonlarındaki siyah beyaz kurban pikselinin önü.
Araştırmacılar, zaman damgaları ve adreslerle birlikte tam konum geçmişleri, Ekran Güvenliği etkinken bile özel Sinyal mesajları, Google Mesajlarından SMS konuşmaları, Venmo hesap bakiyeleri ve işlem ayrıntıları, gönderen bilgileri ve mesaj önizlemeleri dahil Gmail gelen kutusu içerikleri ve adlar, adresler ve e-posta adresleri gibi Google Hesabı kişisel bilgileri dahil olmak üzere Google Haritalar Zaman Çizelgesi’nden bilgileri başarıyla çıkardı.
Saldırı, geleneksel piksel çalma tekniklerini büyük ölçüde azaltan tarayıcı tabanlı korumaları temel olarak atlıyor.
En iyi bir milyon web sitesi arasında yapılan bir anket, yalnızca %0,2’sinin X-Frame-Options başlıkları ve SameSite çerez politikaları nedeniyle geleneksel iframe tabanlı saldırılara karşı savunmasız kaldığını ortaya çıkardı.
Buna karşılık, web sitelerinin %100’ü Chrome tarayıcı uygulaması aracılığıyla açıldığında savunmasız durumdayken, Chrome Özel Sekmeleri aracılığıyla erişildiğinde %99,3’ü risk altında kalıyor.
Her web sitesi için geçerli Chromeon-macOS kullanıcı aracısı dizesini içeren bir GET isteği göndeririz. Bir web sitesini, HTTP 200 durum kodunu döndürmesi durumunda erişilebilir olarak işaretleriz.
Ek olarak araştırmacılar, 96.783 Android uygulamasında örtülü niyetlerle hedeflenebilecek 238.036 etkinlik tespit etti; bu etkinlik, uygulama başına dışa aktarılan iki etkinliğin ortalamasını oluşturuyor.
Azaltmalar
Araştırmacılar bulgularını 24 Şubat 2025’te Google’a açıkladılar ve Yüksek önem derecesi ve CVE ataması aldılar. Google, 2 Eylül 2025’te bir ilk yama yayınladı, ancak daha sonra araştırmacılar bir geçici çözüm keşfettiler ve bu azaltmanın Samsung cihazlarını korumadığını buldu.
Hem Google’a hem de Samsung’a takip açıklamaları Eylül ayında yapıldı ve kapsamlı azaltımlara ilişkin koordinasyon 13 Ekim 2025 itibarıyla halen devam ediyor.
Araştırma ekibi, çerçeve atalarının İçerik Güvenliği Politikası yönergesinin tarayıcı tabanlı saldırıları engellemesine benzer şekilde, saldırganların kurban pikselleri üzerinde hesaplamalarını önleyerek saldırı çerçevesinin ikinci koşulunun hedeflenmesini önermektedir.
Önerilen hafifletme önlemlerinden biri, geliştiricilerin faaliyetleri üzerindeki şeffaf katmanlamayı açık bir izin verilenler listesiyle kısıtlamasına olanak tanıyacak ve uygulamaları varsayılan olarak savunmasız olmak yerine bu seçeneği seçmeye zorlayacaktır.
Bu yaklaşım, hassas uygulamaları piksel çıkarımından korurken, Android uygulama katmanlamanın işbirliğine dayalı çok aktörlü tasarımını koruyacaktır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.