روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ اندروید همیشه در تلاش است محدودیتهای بیشتری برای اپلیکیشنها ایجاد کند تا از سوءاستفاده کلاهبرداران و بدافزارها برای سرقت پول، رمزها و اطلاعات خصوصی کاربران جلوگیری کند. اما آسیبپذیری تازهای به نام Pixnapping موفق شده تمام این لایههای حفاظتی را دور بزند و به یک مهاجم اجازه دهد بهطور نامحسوس پیکسلهای صفحه را بخواند؛ در عمل، مثل این است که اپلیکیشن یک اسکرینشات مخفی و نامرئی از صفحه بگیرد و پیکسل به پیکسل اطلاعات را بخواند. یک اپلیکیشن مخرب بدون هیچ مجوزی میتواند رمزها، موجودی حساب بانکی، کدهای یکبارمصرف و هر چیز دیگری را که روی صفحه دیده میشود، مشاهده کند.خبر خوب اینکه Pixnapping فعلاً فقط در حد کار پژوهشی است و هنوز توسط مهاجمان واقعی مورد سوءاستفاده قرار نگرفته. امید میرود گوگل پیش از اینکه این روش وارد بدافزارهای واقعی شود، آن را بهطور کامل برطرف کند. بر اساس یافتهها، آسیبپذیری Pixnapping با شناسه CVE-2025-48561 احتمالاً تمام گوشیهای اندرویدی مدرن را تحت تأثیر قرار میدهد؛ حتی دستگاههایی که آخرین نسخه اندروید را اجرا میکنند.
چرا گرفتن اسکرینشات و خواندن صفحه خطرساز است؟
همانطور که در نمونه بدافزار SparkCat دیده شد، مهاجمان در پردازش تصویر مهارت بالایی پیدا کردهاند. اگر تصویری روی گوشی حاوی اطلاعات ارزشمند باشد، بدافزار میتواند آن را تشخیص دهد، مستقیماً روی گوشی متن را از تصویر استخراج کند و سپس اطلاعات را به سرور مهاجم ارسال کند.SparkCat حتی توانست وارد فروشگاههای رسمی اپلیکیشن مانند اپاستور شود. بنابراین اپلیکیشنی که از Pixnapping استفاده کند، میتواند همین کار را انجام دهد؛ آن هم بدون نیاز به هیچ مجوزی. کافی است ظاهر یک اپلیکیشن بیخطر را داشته باشد و همزمان بیصدا رمزهای ورود، کدهای امنیتی و سایر اطلاعات حساس را برای کلاهبرداران ارسال کند.روش محبوب دیگر مهاجمان مشاهده اطلاعات در لحظه است. در این روش قربانی از طریق پیامرسانها فریب داده میشود و با بهانههای مختلف، قانع میشود اشتراکگذاری صفحه گوشی را فعال کند.
آناتومی حمله Pixnapping
پژوهشگران توانستند محتوای داخل اپلیکیشنها را با ترکیب روشهای قبلی سرقت پیکسل از مرورگرها و پردازندههای گرافیکی گوشی بهدست آورند. اپلیکیشن مهاجم پنجرههای نیمهشفافی را روی محتوای هدف قرار میدهد و بررسی میکند سیستم ویدئویی گوشی چگونه این لایهها را با هم ترکیب میکند.در سال ۲۰۱۳ حملهای توضیح داده شد که در آن یک سایت میتوانست سایت دیگری را داخل پنجره خود بارگذاری کند و با استفاده از لایهبندی و پردازش تصویر، متوجه شود چه چیزی روی سایت دوم نمایش داده میشود. اگرچه مرورگرهای امروزی جلوی آن حمله را گرفتهاند، اما گروهی از پژوهشگران آمریکایی اکنون توانستهاند همان ایده را در اندروید پیاده کنند.
اپلیکیشن مخرب ابتدا یک درخواست سیستمی به اپلیکیشن هدف میفرستد. در اندروید به آن Intent گفته میشود.این درخواست باعث میشود اپلیکیشن هدف صفحه حساس را نمایش دهد. سپس اپلیکیشن مهاجم یک Intent دیگر برای اجرای خودش ارسال میکند. این ترکیب باعث میشود محتوای حساس در پسزمینه رندر یا نمایش داده شود، بدون اینکه کاربر آن را روی صفحه ببیند.
در مرحله دوم، اپلیکیشن مخرب پنجرههای نیمهشفافی را روی پنجره مخفی اپلیکیشن قربانی قرار میدهد. این لایهها برای کاربر نامرئیاند، اما اندروید محاسبه میکند که ترکیب نهایی چگونه باید باشد.اپلیکیشن مهاجم فقط میتواند پیکسلهای پنجرههای خودش را بخواند. بنابراین برای دور زدن این محدودیت، پژوهشگران از دو ترفند استفاده کردند:
– یک پنجره تقریباً مات روی اپلیکیشن هدف قرار داده میشود و فقط یک نقطه شفاف دقیقاً روی پیکسل موردنظر باقی میماند.
– سپس یک لایه بزرگنماییکننده با تاری شدید روی آن قرار میگیرد.
ساز و کار دقیق Pixnapping
برای خواندن مقدار پیکسلِ لایههای زیرین، پژوهشگران از آسیبپذیری دیگری به نام GPU.zip کمک گرفتند. در این روش از این واقعیت استفاده میشود که پردازندههای گرافیکی گوشی هنگام انتقال تصویر، داده را فشردهسازی میکنند. سرعت فشردهسازی بسته به محتوای تصویر تغییر میکند. با اندازهگیری زمان فشردهسازی، مهاجم میتواند حدس بزند چه اطلاعاتی در حال انتقال است. به این ترتیب، پیکسل مجزا که محو و بزرگنمایی شده، قابل خواندن میشود.برای سرقت یک داده واقعی، این کار باید صدها بار تکرار شود تا همه نقاط تصویر خوانده شود. اما این کار سریع انجام میشود. در یک ویدئوی آزمایشی، یک کد ششرقمی ازاحرازگر گوگلدر تنها ۲۲ ثانیه استخراج شد.
اندروید چگونه از صفحه محافظت میکند؟
گوگل نزدیک به ۲۰ سال تجربه در مقابله با حملات حریم خصوصی دارد و برای جلوگیری از ضبط غیرقانونی صفحه، لایههای مختلفی ایجاد کرده است. برخی از این روشها عبارتاند از:
– پرچم امنیتی FLAG_SECURE که اجازه اسکرینشات گرفتن را محدود میکند.
– دسترسی به ابزارهای ضبط صفحه فقط با تأیید کاربر و تنها هنگام فعال بودن اپلیکیشن.
– محدودیتهای شدید برای دسترسی به سرویسهای کمکی مانندAccessibility.
– پنهان کردن خودکار اطلاعات حساس هنگام فعال بودن ضبط صفحه.
– محدود کردن دسترسی اپها به اطلاعات سایر اپها.
اما Pixnapping تمام این لایهها را دور میزند و هیچ مجوزی لازم ندارد. اپلیکیشن مهاجم فقط به دو قابلیت پایه نیاز دارد: نمایش پنجرههای خودش و ارسال Intent. این دو قابلیت بخشی از ساختار اصلی اندروید هستند و محدود کردنشان دشوار است.
راهکارهای امنیتی
این حمله روی اندروید نسخههای ۱۳ تا ۱۶ در گوشیهای گوگل پیکسل نسل ۶ تا ۹و همچنین سامسونگ گلکسی S25 آزمایش و تأیید شده است. پژوهشگران معتقدند سایر گوشیها نیز آسیبپذیر هستند.گوگل در سپتامبر یک پچ امنیتی منتشر کرد، اما این اصلاح ناکافی بود و پژوهشگران توانستند آن را دور بزنند. قرار است در بهروزرسانی دسامبر اصلاح جدیدی ارائه شود. برای GPU.zip نیز فعلاً برنامهای برای اصلاح وجود ندارد.
گزینههای کاربران برای دفاع محدود است، اما توصیه میشود:
– اندروید گوشی را سریعاً به آخرین نسخه با جدیدترین پچها بهروزرسانی کنید.
– از نصب اپلیکیشن از منابع ناشناس خودداری کنید.
– نسبت به اپهایی که تازه منتشر شدهاند، دانلود کمی دارند یا امتیاز پایینی دارند، احتیاط کنید.
– از یک سیستم امنیتی قدرتمند مانند کسپرسکی برای اندروید استفاده کنید.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
