Điều Gì Đã Xảy Ra?
Các nhà nghiên cứu bảo mật đã hồi sinh một kỹ thuật đánh cắp dữ liệu dựa trên trình duyệt có từ 12 năm trước để nhắm vào các thiết bị Android, tạo ra một cuộc tấn công mới mạnh mẽ có tên Pixnapping.
Phương pháp này cho phép một ứng dụng Android độc hại đánh cắp dữ liệu được hiển thị trên các ứng dụng hoặc trang web khác — bao gồm thông tin nhạy cảm từ Google Maps, Gmail, Signal, Venmo, và thậm chí cả mã 2FA từ Google Authenticator — mà không cần yêu cầu quyền đặc biệt.
Pixnapping hoạt động bằng cách khai thác một kênh phụ phần cứng (GPU.zip) để đọc dữ liệu pixel màn hình thông qua các phép đo thời gian kết xuất. Bằng cách phủ lên các hoạt động trong suốt và tính thời gian pixel kết xuất nhanh như thế nào, kẻ tấn công có thể tái tạo nội dung màn hình từng pixel một. Mặc dù kỹ thuật này chỉ rò rỉ 0,6 đến 2,1 pixel mỗi giây, nhưng nó đủ để khôi phục dữ liệu nhạy cảm như mã xác thực.
Lỗ hổng này, CVE-2025-48561, ảnh hưởng đến các thiết bị chạy Android 13 đến 16 (bao gồm Pixel 6–9 và Galaxy S25). Một bản vá một phần đã được phát hành vào tháng 9 năm 2025, với một bản sửa lỗi toàn diện hơn dự kiến vào tháng 12.
Tại Sao Điều Này Quan Trọng?
Pixnapping phơi bày một lỗ hổng cơ bản trong kiến trúc kết xuất và GPU của Android, chứng minh rằng ngay cả những cuộc tấn công đã được giải quyết từ lâu cũng có thể tái xuất hiện dưới các hình thức mới.
Bởi vì nó không yêu cầu quyền đặc biệt, một ứng dụng có vẻ vô hại được tải xuống từ Google Play Store có thể bí mật theo dõi dữ liệu nhạy cảm trên màn hình.
Cuộc tấn công cũng làm nổi bật một vấn đề rộng lớn hơn với các lỗ hổng kênh phụ rò rỉ không phải do lỗi phần mềm mà do cách phần cứng xử lý dữ liệu.
Những lỗ hổng này nổi tiếng khó phát hiện và sửa chữa, đặt ra những thách thức liên tục cho bảo mật di động.
Tại Sao Tôi Nên Quan Tâm?
Nếu bạn sử dụng Android, nghiên cứu này nhấn mạnh tiềm năng đánh cắp dữ liệu bí mật mà không cần bất kỳ hành động hoặc cảnh báo nào từ người dùng.
Các ứng dụng có thể âm thầm thu thập các chi tiết nhạy cảm như thông tin ngân hàng, mã 2FA, hoặc dữ liệu vị trí chỉ bằng cách quan sát hoạt động màn hình của bạn.
Mặc dù Google nói rằng không có bằng chứng về việc khai thác, nhưng sự tồn tại của cuộc tấn công này cho thấy rằng phần mềm độc hại có thể vượt qua các biện pháp bảo vệ bảo mật truyền thống.
Điều Gì Tiếp Theo?
Google đang triển khai các bản sửa lỗi tiếp theo để hạn chế việc lạm dụng API làm mờ và cải thiện khả năng phát hiện. Tuy nhiên, các nhà nghiên cứu cảnh báo rằng các cách giải quyết thay thế đã tồn tại, và lỗ hổng GPU.zip cơ bản vẫn chưa được giải quyết.
Cho đến khi tìm được giải pháp vĩnh viễn, người dùng nên hạn chế cài đặt các ứng dụng không đáng tin cậy và giữ thiết bị được cập nhật. Các chuyên gia bảo mật cũng kỳ vọng sẽ có nhiều cuộc tấn công kênh phụ như Pixnapping xuất hiện khi kẻ tấn công tinh chỉnh những kỹ thuật tinh vi này.
