Pixnapping, Google Authenticator’dan iki faktörlü kimlik doğrulama (2FA) kodları da dahil olmak üzere hassas ekran verilerini 30 saniyeden kısa sürede gizlice çıkarabilen, Android cihazlarını hedef alan yeni bir yan kanal saldırıları sınıfıdır.
ACM Bilgisayar ve İletişim Güvenliği Konferansı’nda (CCS 2025) araştırmacılar, bu istismarın Android’in temel API’lerinden ve grafik işlem birimlerindeki (GPU’lar) donanım güvenlik açığından yararlanarak neredeyse tüm modern Android telefonları özel izin gerektirmeden etkilediğini söyledi.
6’dan 9’a kadar Google Pixel modellerinde ve Android 13’ten 16’ya kadar olan sürümleri çalıştıran Samsung Galaxy S25’te gösterilen Pixnapping, hem web içeriğini hem de yerel uygulamaları gözetlemek için geleneksel tarayıcı korumalarını atlar.
Saldırının gizli doğası, kurbanı uyarmadan görüntülenen pikselleri piksel piksel yeniden oluşturduğu için Signal, Venmo ve Gmail gibi uygulamalara güvenen kullanıcılar için alarma neden oluyor.
Pixnapping Saldırısı
Pixnapping, kurban ekranlarını kaplayan yarı şeffaf etkinlik yığınlarıyla birlikte uygulamaların diğerlerini sorunsuz bir şekilde başlatmasına olanak tanıyan Android’in niyet sisteminden yararlanıyor.
Kötü amaçlı bir uygulama, Google Authenticator gibi bir hedef uygulamayı açma niyeti göndererek saldırıyı başlatır, ardından maskeleme tekniklerini kullanarak belirli pikselleri izole etmek için neredeyse görünmez pencereleri katmanlar.
Bu katmanlar, Android’in kompozisyon motoru SurfaceFlinger aracılığıyla bulanıklık efektleri uygulayarak, “GPU.zip” olarak bilinen GPU veri sıkıştırması nedeniyle piksel renklerine bağlı zamanlama varyasyonları oluşturur.
Saldırı, Google cihazlarında, tek tip (beyaz) piksellerin çeşitli piksellerden daha hızlı sıkıştırıldığı ve VSync geri çağrıları yoluyla renk bilgilerinin sızdırıldığı Mali GPU sıkıştırmasından kaynaklanan görüntü oluşturma gecikmelerini ölçüyor.
Samsung Galaxy S25’in bir çeşidi, bu tutarsızlıkları güçlendirmek için değişen yarıçaplara sahip birden fazla bulanıklık bölgesi kullanıyor ve donanım farklılıklarına rağmen benzer sonuçlar elde ediyor.
Araştırmacılar, optik karakter tanıma (OCR) tarzı incelemeyi uyarlayarak, kodları sona ermeden önce yeniden oluşturmak için Google Sans yazı tipinde basamak başına yalnızca dört anahtar pikseli hedefleyerek, 2FA kodları gibi geçici veriler için tekniği optimize etti.
Saldırının kapsamı 2FA’nın ötesine geçerek Signal’deki özel mesajlara kadar uzanıyor; ekran güvenliğini, Google Haritalar’daki konum geçmişlerini ve Venmo’daki işlem ayrıntılarını atlayarak verileri daha önce hiç piksel çalma yöntemlerine karşı savunmasız hale getiriyor.
96.783 Google Play uygulaması üzerinde yapılan bir anket, hepsinin niyetlere duyarlı en az bir dışa aktarılmış etkinliğe sahip olduğunu ortaya çıkarırken, web analizi Pixnapping’in, eski iframe tabanlı istismarları çok geride bırakarak Özel Sekmeler aracılığıyla en iyi sitelerin %99,3’ünü tehlikeye attığını gösterdi.
Google, Eylül 2025’te CVE-2025-48561’i yüksek önem derecesine sahip ve yama uygulanmış Pixel cihazlar olarak atadı, ancak geçici çözümler devam ediyor ve Samsung, uygulama karmaşıklığı nedeniyle bunu düşük önem derecesine sahip olarak değerlendirdi.
Uzmanlar bu durumu hafifletmek için, web’in çerçeve ataları politikasına benzer şekilde uygulama izin verilenler listeleri aracılığıyla şeffaf yer paylaşımlarının kısıtlanmasını ve olağandışı uygulama davranışlarının izlenmesini öneriyor.
Kimlik avına karşı savunmasız olan bu tehdit, Android’in katmanlı kullanıcı arayüzü risklerinin altını çizdiğinden, kullanıcılar cihazları derhal güncellemeli ve uygulama yüklemelerini incelemelidir.
| Etkilenen Bileşenler | Tanım | Örnekler |
|---|---|---|
| Cihazlar | Mali veya benzeri GPU’lara sahip modern Android telefonlar | Google Piksel 6-9, Samsung Galaxy S25 |
| Hedeflenen Uygulamalar | Hassas görseller görüntüleyen yerel uygulamalar ve web uygulamaları | Google Authenticator (2FA), Signal (mesajlar), Venmo (işlemler), Gmail |
| Android Sürümleri | Son sürümlerde mevcut olan temel mekanizmalar | 13-16 |
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
