Pixnapping: Η νέα κυβερνοεπίθεση που κλέβει ό,τι βλέπεις στην οθόνη σε λιγότερο από 30 δευτερόλεπτα

Μια ομάδα ερευνητών από ακαδημαϊκά ιδρύματα ανέπτυξε μια νέα μορφή επίθεσης, γνωστή ως Pixnapping, η οποία μπορεί να υποκλέψει ευαίσθητα δεδομένα από την οθόνη ενός smartphone, από κωδικούς επαλήθευσης δύο παραγόντων (2FA) μέχρι ιδιωτικές συνομιλίες και ιστορικά τοποθεσιών. Το πιο ανησυχητικό είναι πως η διαδικασία ολοκληρώνεται σε λιγότερο από μισό λεπτό, χωρίς το σύστημα να αντιλαμβάνεται το παραμικρό.

Μια ύπουλη αλλά «έξυπνη» τεχνική

Το Pixnapping δεν χρειάζεται να τραβήξει screenshot ή να αποκτήσει πρόσβαση σε αρχεία. Αντίθετα, βασίζεται στην ανάλυση του τρόπου με τον οποίο το smartphone αποδίδει κάθε pixel στην οθόνη. Μόλις εγκατασταθεί μια φαινομενικά αθώα αλλά κακόβουλη εφαρμογή στη συσκευή, αυτή μπορεί να εκμεταλλευτεί την τεχνική για να αναδημιουργήσει ολόκληρη την εικόνα που εμφανίζεται εκείνη τη στιγμή.

Η επίθεση εκτελείται σε τρία στάδια. Αρχικά, η εφαρμογή «πείθει» την εφαρμογή-στόχο να εμφανίσει το περιεχόμενο που ενδιαφέρει τον επιτιθέμενο, για παράδειγμα, ένα μήνυμα SMS ή ένα email που περιλαμβάνει τον 2FA κωδικό για την πρόσβαση σε τραπεζικό λογαριασμό. Στη συνέχεια, εκτελεί συγκεκριμένες γραφικές λειτουργίες πάνω σε ορισμένες συντεταγμένες της οθόνης, μετρώντας τον χρόνο που χρειάζεται το κινητό για να αποδώσει κάθε pixel. Από τη διάρκεια αυτής της απόδοσης, μπορεί να υπολογιστεί το χρώμα κάθε pixel με εντυπωσιακή ακρίβεια.

Συνδυάζοντας τα δεδομένα από χιλιάδες pixels, η εφαρμογή ανασυνθέτει την πλήρη εικόνα που εμφανίζεται στην οθόνη, χωρίς να χρειαστεί να αποθηκεύσει ή να φωτογραφίσει οτιδήποτε. Ουσιαστικά, πρόκειται για ένα “εικονικό screenshot” που παρακάμπτει πλήρως τα μέτρα ασφαλείας του λειτουργικού συστήματος.

Τι μπορούν να υποκλέψουν οι επιτιθέμενοι

Η έρευνα έδειξε πως οποιοδήποτε στοιχείο εμφανίζεται στην οθόνη μιας εφαρμογής μπορεί να κλαπεί μέσω του Pixnapping. Αυτό περιλαμβάνει μηνύματα από εφαρμογές συνομιλίας, emails, ειδοποιήσεις τραπεζών ή τους προσωρινούς κωδικούς 2FA που χρησιμοποιούνται για την επιβεβαίωση ταυτότητας. Αντίθετα, δεδομένα που είναι αποθηκευμένα αλλά δεν προβάλλονται ποτέ στην οθόνη –όπως μυστικά κλειδιά ή token πρόσβασης– παραμένουν εκτός κινδύνου.

Στα πειράματα που πραγματοποίησαν οι ερευνητές, η τεχνική εφαρμόστηκε σε διάφορα μοντέλα Google Pixel και στο Samsung Galaxy S25. Τα αποτελέσματα ήταν ανησυχητικά: σε ποσοστά που κυμάνθηκαν από 30% έως 70%, το Pixnapping κατάφερε να ανασυνθέσει πλήρως εξαψήφιους 2FA κωδικούς. Στα μοντέλα Pixel, η ανακατασκευή ολοκληρώθηκε σε λιγότερο από 25 δευτερόλεπτα, ενώ στο Galaxy S25 η διαδικασία αποδείχθηκε πιο δύσκολη αλλά όχι αδύνατη.

Ο κίνδυνος και τα πρώτα καλά νέα

Προς το παρόν, δεν υπάρχουν ενδείξεις ότι η τεχνική έχει χρησιμοποιηθεί σε πραγματικές επιθέσεις. Οι ερευνητές φαίνεται να εντόπισαν το πρόβλημα πριν προλάβουν να το εκμεταλλευτούν κακόβουλοι παράγοντες και ενημέρωσαν έγκαιρα την Google. Η εταιρεία αναγνώρισε τη σοβαρότητα του ζητήματος και προχώρησε σε διορθωτική ενημέρωση ασφαλείας τον Σεπτέμβριο, ενώ έχει προγραμματίσει επιπλέον patch για τον Δεκέμβριο.

Υπάρχει ωστόσο και ένα δεύτερο θετικό στοιχείο: σε ορισμένες περιπτώσεις, η επίθεση διαρκεί περισσότερο από την ισχύ πολλών 2FA κωδικών, οι οποίοι συνήθως λήγουν μέσα σε 30 δευτερόλεπτα. Έτσι, ακόμα κι αν το Pixnapping καταφέρει να ξεκινήσει την επίθεση, ο κωδικός μπορεί να έχει λήξει προτού ο επιτιθέμενος προλάβει να τον χρησιμοποιήσει.

Τα τεχνικά όρια και τα ποσοστά επιτυχίας

Σύμφωνα με την ερευνητική ομάδα, για να προλάβουν το χρονικό παράθυρο των 30 δευτερολέπτων –που είναι κρίσιμο για την υποκλοπή ενός ενεργού 2FA κωδικού– αναγκάστηκαν να μειώσουν τα δείγματα ανά pixel από 64 σε μόλις 16, και τον χρόνο μεταξύ των μετρήσεων από 1,5 δευτερόλεπτο σε μόλις 70 χιλιοστά του δευτερολέπτου.

Από τα πειράματά τους σε συσκευές Google Pixel, το Pixnapping πέτυχε να ανακτήσει ολόκληρους εξαψήφιους κωδικούς στις εξής περιπτώσεις: 73% στο Pixel 6, 53% στο Pixel 7, 29% στο Pixel 8 και 53% στο Pixel 9. Αν και τα ποσοστά δεν είναι απόλυτα, παραμένουν εξαιρετικά ανησυχητικά, δεδομένου ότι η επίθεση εκτελείται χωρίς ορατά ίχνη ή ειδοποιήσεις για τον χρήστη.

Το μέλλον της άμυνας απέναντι στο Pixnapping

Παρά την πρώτη ενημέρωση ασφαλείας της Google, οι ερευνητές προειδοποιούν ότι ορισμένες παραλλαγές του Pixnapping εξακολουθούν να παρακάμπτουν τα υπάρχοντα μέτρα προστασίας. Αυτό σημαίνει πως το ζήτημα δεν έχει εξαλειφθεί πλήρως και ίσως χρειαστεί βαθύτερη αναθεώρηση του τρόπου με τον οποίο τα λειτουργικά συστήματα χειρίζονται τις διεργασίες γραφικών και τις μετρήσεις χρόνου απόδοσης pixels.

Μέχρι να υπάρξει οριστική λύση, οι ειδικοί συμβουλεύουν τους χρήστες να περιορίζουν τις εφαρμογές που ζητούν πρόσβαση σε λειτουργίες οθόνης ή σε δεδομένα συστήματος και να διατηρούν τα λειτουργικά τους πάντα ενημερωμένα. Γιατί, όπως αποδεικνύει το Pixnapping, ακόμα και ένα pixel μπορεί να αποδειχθεί επικίνδυνο.

[via]