カーネギーメロン大学の研究チームが、悪意のあるアプリケーションがAndroidデバイスから機密データを盗むことを可能にする新たな攻撃手法を特定しました。
Pixnappingと名付けられたこの攻撃は、GoogleおよびSamsungのスマートフォンに対して実証されました。GoogleはAndroidオペレーティングシステム向けに1つのパッチをリリースしており、デバイスを潜在的な攻撃から保護するために追加の修正にも取り組んでいます。
Pixnapping攻撃を実行するには、攻撃者が標的となるユーザーに悪意のあるアプリケーションをAndroidスマートフォンにインストールさせる必要があります。この悪意のあるアプリは、攻撃を行うためにAndroidの権限を一切必要としません。
研究者によると、攻撃は悪意のあるアプリがデータを盗む対象のアプリケーションを呼び出すことから始まります。その後、標的アプリで機密データが通常表示される画面領域に関連付けられたピクセルに対してグラフィカルな操作を誘発します。研究者が2023年に公開したGPUサイドチャネル攻撃GPU.zipを用いて、標的となるピクセルを1ピクセルずつ盗み出します。
これらの操作は、被害者が悪意のあるアプリケーションを閲覧している間、バックグラウンドで行われます。
「Pixnappingは、機密ピクセルをレンダリングパイプラインに強制的に送り込み、Androidインテントを介してそれらのピクセルの上に半透明のアクティビティをオーバーレイします。これらのピクセルに対してグラフィカルな操作を誘発するために、私たちの実装ではAndroidのウィンドウブラーAPIを使用しています。レンダリング時間を測定するために、VSyncコールバックを利用しています」と研究者は説明しています。
「概念的には、悪意のあるアプリが本来アクセスできない画面内容のスクリーンショットを撮っているようなものです」とも付け加えています。
研究者はPixelおよびSamsungのスマートフォンで攻撃を再現することに成功しましたが、他のベンダーのデバイスも脆弱である可能性が高いと考えています。テスト中、GmailやGoogleアカウントなどのウェブサイト、Venmo、Signal、Google Authenticator、Googleマップなどのアプリから機密データを回収することに成功しました。
Pixnapping攻撃は、2FAコード、メール、チャットメッセージなどの機密データを盗むために利用できますが、画面上に表示されている情報のみが脆弱です。
研究者の多くのテストはGoogle Authenticatorを標的としており、2FAコードを30秒以内に盗み出すことに成功しました(この攻撃の速度が重要なのは、Authenticatorの2FAコードが30秒で失効するためです)。Google Authenticatorは、2FAコードの画面上の位置が非常に予測しやすいため、ピクセル単位での盗難が可能で、格好の標的となります。
しかし、テスト中、研究者がGoogle Authenticatorアプリから2FAコードを回収できた成功率はPixelデバイスで29%から73%の範囲でした。Samsung Galaxy S25では30秒以内にコードを回収することはできませんでした。
Googleは2025年2月にこの脆弱性について通知を受けました。その後、CVE識別子CVE-2025-48561が割り当てられ、9月にリリースされたAndroidアップデートでパッチが適用されました。研究者はGoogleのパッチを回避することに成功しており、Googleは12月に利用可能となる予定の追加の修正に取り組んでいます。
GoogleはSecurityWeekに対し、実際の攻撃が行われた証拠は確認されていないと述べています。また、現在の検出状況に基づき、この脆弱性を悪用する悪意のあるアプリはGoogle Play上では発見されていないことも明らかにしました。
翻訳元: https://www.securityweek.com/pixnapping-attack-steals-data-from-google-samsung-android-phones/
