Pixnapping: Η νέα Android απειλή που μπορεί να κλέψει τους κωδικούς σας χωρίς να το καταλάβετε

Η έννοια της ασφάλειας στα smartphones συχνά βασίζεται στην πεποίθηση ότι όσο δεν εγκαθιστούμε ύποπτες εφαρμογές και κρατάμε τις ενημερώσεις ενεργές, είμαστε προστατευμένοι. Όμως μια ομάδα αμερικανών ερευνητών από πανεπιστήμια στις ΗΠΑ έφερε στο φως μια νέα τεχνική κυβερνοεπίθεσης που αμφισβητεί αυτή τη βεβαιότητα.

Τη βάφτισαν “pixnapping” και ο τρόπος που λειτουργεί προκαλεί ανησυχία: μια κακόβουλη εφαρμογή μπορεί να αποσπάσει δεδομένα από κάθε οθόνη του τηλεφώνου, όχι μέσα από κλασικές μεθόδους παρακολούθησης, αλλά διαβάζοντας τα pixels, ουσιαστικά ένα-ένα τα χρωματιστά σημεία που συνθέτουν το περιεχόμενο που εμφανίζεται.

Ο μηχανισμός της επίθεσης στηρίζεται σε μια κατάχρηση των Android APIs, δημιουργώντας διαδοχικά διαφανή επίπεδα πάνω στην οθόνη και καταγράφοντας μικρές μεταβολές στα pixels. Έτσι, το κακόβουλο λογισμικό μπορεί σταδιακά να αναδημιουργήσει μια εικόνα του τι βλέπει ο χρήστης. Το εντυπωσιακό (και ταυτόχρονα τρομακτικό) στοιχείο δεν είναι μόνο η θεωρία: οι ερευνητές ανέφεραν πως ο τρόπος αυτός επιτρέπει την υποκλοπή κωδικών δύο παραγόντων (2FA) μέσα σε χρονικό διάστημα 14 έως 25 δευτερολέπτων. Δεδομένου ότι οι περισσότεροι τέτοιοι κωδικοί λήγουν στα 30 δευτερόλεπτα, το περιθώριο είναι αρκετό για έναν εισβολέα να αποκτήσει πρόσβαση σε έναν λογαριασμό θεωρητικά προστατευμένο.

Και δεν σταματά εκεί. Στα πειράματά τους, η ομάδα κατάφερε να ανασυνθέσει ακόμη και περιεχόμενο από κρυπτογραφημένες εφαρμογές όπως το Signal. Σε αυτή την περίπτωση η διαδικασία χρειάστηκε 25 έως 42 ώρες, αλλά η απόδειξη ότι κάτι τέτοιο είναι τεχνικά εφικτό ανοίγει ένα νέο κεφάλαιο στον τομέα των επιθέσεων side-channel — τεχνικών που δεν παραβιάζουν άμεσα το λειτουργικό σύστημα, αλλά εκμεταλλεύονται τις λεπτομέρειες του τρόπου που λειτουργεί.

Τα σενάρια αυτά ίσως θυμίζουν ταινία επιστημονικής φαντασίας, αλλά ήδη έχει αρχίσει η συζήτηση για το πόσο εύκολα μπορεί να αξιοποιηθεί μια τέτοια επίθεση από εγκληματίες. Το πρώτο φράγμα προστασίας είναι πως απαιτείται η εγκατάσταση και εκτέλεση μιας κακόβουλης εφαρμογής. Ωστόσο, το πρόβλημα γίνεται πιο επικίνδυνο επειδή η εφαρμογή δεν χρειάζεται πρόσθετες άδειες, καθώς ακόμη και χωρίς πρόσβαση στην κάμερα, στις επαφές ή στο μικρόφωνο, μπορεί να ξεκινήσει την επίθεση αμέσως μόλις ανοίξει.

Στην προσπάθεια αντιμετώπισης της απειλής, η Google κυκλοφόρησε ήδη μία ενημέρωση που περιορίζει τη χρήση του blur, μιας λειτουργίας που επιτρέπει σε εφαρμογές να «θολώνουν» ή να διαστρώνονται πάνω από άλλες προβολές — ένα από τα κεντρικά στοιχεία που αξιοποιεί το pixnapping. Ωστόσο, οι ερευνητές δηλώνουν πως βρήκαν τρόπο να παρακάμψουν και αυτή την άμυνα, πράγμα που υποδηλώνει ότι η τεχνική δεν πρόκειται να εξαφανιστεί τόσο εύκολα. Η Google έχει προαναγγείλει δεύτερο patch στο δελτίο ασφαλείας του Δεκεμβρίου, ενώ στη μελέτη αναφέρθηκε ότι οι δοκιμές έγιναν σε συσκευές Samsung και Google Pixel, άρα η ευπάθεια δεν περιορίζεται σε ένα μόνο brand.