Pixnapping攻撃により攻撃者がAndroidの2FAを盗むことが可能に

出典：Ruslan Sidorov（Alamy Stock Photo経由）

Androidを標的とした新たな概念実証型のエクスプロイトにより、攻撃者は特定のAndroidデバイスから多要素認証（MFA）認証情報などの秘密情報を盗むことが可能になります。

この攻撃「pixnapping」は、カリフォルニア大学バークレー校、ワシントン大学、カリフォルニア大学サンディエゴ校、カーネギーメロン大学の研究者によって作成されました。研究チームは専用の研究ウェブサイトでこれを「悪意のあるAndroidアプリが、他のAndroidアプリや任意のウェブサイトに表示されている情報を密かに漏洩させることを可能にする新しい種類の攻撃」と説明しています。

研究者たちはGoogleおよびSamsungのスマートフォンでこの攻撃を実証し、「GmailやGoogleアカウントなどのウェブサイト、Signal、Google Authenticator、Venmo、Google Mapsなどのアプリから、機密データのエンドツーエンドの復元に成功した」と述べています。

「特に、Google Authenticatorに対する我々の攻撃では、任意の悪意あるアプリがユーザーに気付かれずに30秒以内に2FAコードを盗むことができます」とpixnapping研究ウェブサイトに記載されています。

現時点で攻撃者がこの概念実証（POC）を悪用したという証拠はありませんが、いずれのAndroidデバイスにも決定的なパッチは提供されていないようです。

Pixnappingの仕組み

この攻撃は研究のためにGoogleおよびSamsungのデバイス（Google Pixel 6、7、8、9、Samsung Galaxy S25など）でテストされましたが、研究者によれば、Android APIとハードウェアのサイドチャネルを標的とするpixnappingは、実際にはほぼすべての最新のAndroidデバイスに影響します。

Pixnappingは「ピクセル盗み」と呼ばれる、より古く大きな攻撃ジャンルの一つであり、ソースが何らかのサイドチャネルを通じてユーザーにどのようにピクセル（通常は他のソースからのもの）が表示されているかを特定できるものです。

この場合、悪意のあるコードがユーザーによって開かれたアプリにインストールされます。アプリが開かれている間にユーザーに表示されているもの（他のアプリのタブなど）であれば、2要素認証コード、メール、チャットメッセージ、その他の秘密情報も含めて盗まれる可能性があります。

「我々の主要な観察結果は、Android APIが攻撃者にブラウザ外でStoneスタイル攻撃の類似を作成することを可能にしているということです。具体的には、悪意のあるアプリがAndroidインテントを介して被害者のピクセルをレンダリングパイプラインに強制的に送り込み、半透明のAndroidアクティビティのスタックを使ってそれらのピクセル上で計算を行うことができます」と研究を紹介するホワイトペーパーに記載されています。「重要なのは、このフレームワークにより、これまでピクセル盗み攻撃の手の届かなかったローカルにのみ保存されている秘密（例：2FAコードやGoogle Mapsタイムライン）を盗むことができる点です。」

画面に表示されていない秘密は、たとえデバイスに保存されていても、悪意のあるコードによって取得されることはありません。

研究者たちは、ウィンドウのぼかし専用APIやVSyncコールバック用APIなど複数のAPIを使用することで、Androidアクティビティ間でピクセルを取得することに成功しました。

Pixnappingが重要な理由

この攻撃にはCVE-2025-48561が割り当てられています。POCを開発したチームによれば、現時点でこの攻撃を完全に緩和したベンダーはいません。pixnapping研究者の説明によると、Googleは9月初旬にパッチをリリースしましたが、研究者はその後回避策を発見しました。

Googleの広報担当者はDark Readingに対し、9月のパッチでpixnappingの一部が緩和されたと述べた上で、「12月のAndroidセキュリティ速報でこの脆弱性に対する追加パッチを発行する予定です」と付け加えました。Googleは現時点で実際の悪用の証拠は確認していません。

Googleはメールで、脆弱性の悪用には対象デバイスに関する特定のデータが必要であり、この脆弱性を悪用する悪意のあるアプリはGoogle Play上ではまだ発見されていないと付け加えています。

Pixnappingは一見して、脅威アクターがAndroidデバイスを標的にする方法を変えるようなサイドチャネル攻撃には見えません――悪用にはやや複雑な手順が必要で、アプリが開かれている必要があります。しかし、pixnappingはAndroid攻撃者のツールキットに新たな選択肢を加え、理論的なソーシャルエンジニアリングキャンペーンを通じてデータを収集する新たな方法となり得ます。

ユーザーに対しては、pixnapping研究者はAndroidのセキュリティアップデートを常に最新に保つことを推奨しています。アプリ開発者に対しては、明確なアドバイスはありません。「pixnappingからアプリを守るための緩和策は現時点で把握していません。もし緩和策について知見があればご連絡ください。追ってこのセクションを更新します」とpixnappingサイトには記載されています。

Dark Readingはコメントを求めてSamsungに連絡しました。