Google ve Samsung’un Android cihazlarının, iki faktörlü kimlik doğrulama (2FA) kodlarını, Google Haritalar zaman çizelgelerini ve diğer hassas verileri, kullanıcıların bilgisi olmadan piksel piksel gizlice çalmak için kullanılabilecek bir yan kanal saldırısına karşı savunmasız olduğu belirlendi.
Saldırının kod adı verildi Pixnapping Kaliforniya Üniversitesi (Berkeley), Washington Üniversitesi, Kaliforniya Üniversitesi (San Diego) ve Carnegie Mellon Üniversitesi’nden bir grup akademisyen tarafından.
Pixnapping, özünde, tarayıcı azaltımlarını atlayan ve hatta Android API’lerinden ve donanım yan kanalından yararlanarak Google Authenticator gibi tarayıcı olmayan uygulamalardan verileri sifonlayan ve kötü amaçlı bir uygulamanın 30 saniyeden kısa sürede 2FA kodları yakalama tekniğini silah haline getirmesine olanak tanıyan, Android cihazlara yönelik bir piksel çalma çerçevesidir.
“Temel gözlemimiz, Android API’lerinin bir saldırganın bir analog oluşturmasına olanak sağlamasıdır. [Paul] Araştırmacılar bir makalede “Tarayıcı dışında taş tarzı saldırılar” dediler. “Özellikle, kötü niyetli bir uygulama, kurban piksellerini Android amaçları aracılığıyla oluşturma hattına girmeye zorlayabilir ve bir dizi yarı şeffaf Android etkinliği kullanarak bu kurban pikselleri üzerinde hesaplama yapabilir.”
Çalışma özellikle Google ve Samsung’un 13’ten 16’ya kadar Android sürümlerini çalıştıran beş cihazına odaklandı ve diğer orijinal ekipman üreticilerinin (OEM’ler) Android cihazlarının Pixnapping’e duyarlı olup olmadığı net olmasa da, saldırıyı gerçekleştirmek için gerekli olan temel metodoloji, mobil işletim sistemini çalıştıran tüm cihazlarda mevcuttur.
Yeni saldırıyı önemli kılan şey, uygulamanın manifest dosyası aracılığıyla eklenmiş herhangi bir özel izni olmasa bile herhangi bir Android uygulamasının bu saldırıyı yürütmek için kullanılabilmesidir. Ancak saldırı, kurbanın başka yollarla uygulamayı yüklemeye ve başlatmaya ikna edildiğini varsayıyor.
Pixnapping’i mümkün kılan yan kanal, aynı araştırmacılardan bazıları tarafından Eylül 2023’te açıklanan GPU.zip’tir. Saldırı, SVG filtreleri kullanarak tarayıcıda çapraz kaynaklı piksel çalma saldırıları gerçekleştirmek için esas olarak modern entegre GPU’lardaki (iGPU’lar) sıkıştırma özelliğinden yararlanıyor.
 |
| Piksel çalma çerçevemize genel bakış |
En son saldırı sınıfı, bunu Android’in pencere bulanıklaştırma API’si ile birleştirerek işleme verilerini sızdırıyor ve kurban uygulamalardan hırsızlığa olanak tanıyor. Bunu başarmak için, kötü amaçlı bir Android uygulaması, kurban uygulama piksellerini işleme hattına göndermek ve uygulamalar ve etkinlikler arasında gezinmeye izin veren bir Android yazılım mekanizması olan niyetleri kullanarak yarı şeffaf etkinlikleri üst üste koymak için kullanılır.
Başka bir deyişle, fikir, ilgilenilen bilgileri (örneğin, 2FA kodları) içeren bir hedef uygulamayı çağırmak ve verilerin oluşturulmak üzere gönderilmesini sağlamaktır; bunu takiben cihaza yüklenen hileli uygulama, bir hedef pikselin (yani 2FA kodunu içerenler) koordinatlarını izole eder ve yan kanalı kullanarak o pikseli maskelemek, büyütmek ve iletmek için bir dizi yarı şeffaf etkinlik başlatır. Bu adım daha sonra işleme hattına itilen her piksel için tekrarlanır.
Araştırmacılar, Android’in bir uygulamanın şunları yapmasına izin veren üç faktörün birleşiminden dolayı Pixnapping’e karşı savunmasız olduğunu söyledi:
- Başka bir uygulamanın etkinliklerini Android oluşturma hattına gönderin (örneğin, niyetlerle)
- Başka bir uygulamanın etkinlikleri tarafından görüntülenen pikseller üzerinde grafiksel işlemlere (örneğin, bulanıklaştırma) neden olun
- Grafik işlemlerinin piksel rengine bağlı yan etkilerini ölçün
Google, sorunu CVE-2025-48561 (CVSS puanı: 5,5) CVE tanımlayıcısı kapsamında izliyor. Eylül 2025 Android Güvenlik Bülteni’nin bir parçası olarak teknoloji devi tarafından güvenlik açığına yönelik yamalar yayınlandı ve Google şunu belirtti: “Çok sayıda bulanıklık isteyen bir uygulama: (1) pencerelerde bulanıklaştırma gerçekleştirmenin ne kadar sürdüğünü ölçerek piksel hırsızlığına olanak tanıyor, [and] (2) muhtemelen pek geçerli değil zaten.”
Ancak o zamandan beri Pixnapping’i yeniden etkinleştirmek için kullanılabilecek bir geçici çözümün olduğu ortaya çıktı. Şirketin bir düzeltme üzerinde çalıştığı söyleniyor.
Ayrıca çalışma, bu davranışın bir sonucu olarak, bir saldırganın, Android 11’den bu yana uygulanan ve kullanıcının cihazında yüklü tüm uygulamaların listesinin sorgulanmasını engelleyen kısıtlamaları atlayarak cihazda rastgele bir uygulamanın yüklü olup olmadığını belirlemesinin mümkün olduğunu buldu. Uygulama listesi atlaması yama yapılmadan kalıyor ve Google bunu “düzeltilemez” olarak işaretliyor.
Araştırmacılar, “Başlangıçtaki tarayıcılarda olduğu gibi, mobil uygulama katmanlamanın kasıtlı olarak işbirliğine dayalı ve çok aktörlü tasarımı, bariz kısıtlamaları çekicilikten uzak hale getiriyor” sonucuna vardı.
“Uygulama katmanlaması ortadan kalkmıyor ve üçüncü taraf çerezlerin olmadığı bir kısıtlama tarzıyla katmanlı uygulamalar işe yaramaz. Gerçekçi bir yanıt, yeni saldırıları eskileri kadar çekici olmaktan çıkarmaktır: hassas uygulamaların kapsam dışında kalmasına izin verin ve saldırganın ölçüm yeteneklerini kısıtlayın, böylece herhangi bir kavram kanıtı aynı kalsın.”