Een ‘pixeldief’ kan alles wat op je Androidscherm verschijnt stelen

Geplaatst op door
Pixel 2

Ook Pixel van Google is vatbaar voor de ‘pixeldief’

Androidtoestellen zijn kwetsbaar voor een nieuwe aanval die in minder dan 30 seconden heimelijk tweefactorauthenticatiecodes, locatietijdlijnen en andere privégegevens kan stelen. Het lek laat e-krakers tweefactorauthenticatiecodes van Android-telefoons stelen. De kwalijke code die nodig is om een ​​’Pixnapping‘-aanval te laten werken, vereist geen toestemming van de eigenaar van de telefoon.
De nieuwe aanval, Pixnapping (pixeldief) genoemd door de academische onderzoekers die de aanval hebben bedacht, vereist dat een slachtoffer eerst een schadelijke app op een Android-telefoon of -tablet installeert. De app, die geen systeemrechten vereist, kan vervolgens effectief gegevens lezen die elke andere geïnstalleerde app op het scherm weergeeft.
Pixnapping werkt op Google Pixel-telefoons en de Samsung Galaxy S25-telefoon en kan waarschijnlijk zo worden veranderd om met extra aanpassingen op andere modellen te werken. Google bracht vorige maand ‘pleisters’ uit, maar de onderzoekers zeiden dat een aangepaste versie van de aanval zelfs werkt wanneer die zijn geïnstalleerd.
Pixnapping-aanvallen beginnen met de kwaadaardige app die Android-programmeerraakvlak aanroept die ervoor zorgt dat de authenticator of andere doelgerichte apps gevoelige informatie naar het scherm van het apparaat stuurt. De kwaadaardige app voert vervolgens grafische bewerkingen uit op individuele pixels die interessant zijn voor de aanvaller. Pixnapping maakt vervolgens gebruik van een zijkanaal waarmee de kwaadaardige app de pixels op die coördinaten kan koppelen aan letters, cijfers of vormen.

“Alles wat zichtbaar is wanneer de doelapp wordt geopend, kan door de kwaadaardige app worden gestolen met behulp van Pixnapping”, schrijven de onderzoekers . Chatberichten, tweefactorcodes, e-mailberichten, enzovoort kunnen allemaal ‘opgedolven’ worden. Als een app geheime informatie heeft die niet zichtbaar is (bijvoorbeeld een geheime sleutel die is opgeslagen maar nooit op het scherm wordt weergegeven), kan die informatie niet door Pixnapping worden gestolen.

GPU.zip

De nieuwe aanvalsklasse doet denken aan GPU.zip, een aanval uit 2023 waarmee kwaadwillende webstekken de gebruikersnamen, wachtwoorden en andere gevoelige visuele gegevens van andere websites konden lezen. De aanval werkte door gebruik te maken van zijkanalen in grafische processoren van alle grote leveranciers.
De kwetsbaarheden die GPU.zip misbruikte, zijn nooit opgelost. In plaats daarvan werd de aanval in webrauzers geblokkeerd door hun mogelijkheid te beperken om iframes te openen, een HTML-element waarmee een webstek (in het geval van GPU.zip een kwaadwillende) de inhoud van een stek van een ander domein kan insluiten. Pixnapping richt zich op hetzelfde zijkanaal als GPU.zip, met name de precieze tijd die nodig is om een ​​bepaald beeld op het scherm weer te geven.

“Hierdoor kan een kwaadaardige app gevoelige informatie stelen die door andere apps of willekeurige webstekken wordt weergegeven, pixel voor pixel”, legde Alan Linghao Wang, hoofdauteur van het onderzoeksartikel uit. “Conceptueel is het alsof de kwaadaardige app een schermafdruk maakt waartoe die geen toegang zou moeten hebben. Onze aanvallen meten simpelweg de rendertijd per frame van de grafische bewerkingen om te bepalen of de pixel wit of niet-wit is.”

Bron: Wired

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.