Một hình thức tấn công mới trên Android, có tên Pixnapping, vừa được các nhà nghiên cứu bảo mật xác nhận có thể đánh cắp mã xác thực hai yếu tố (2FA) chỉ trong vòng 30 giây. Google đã phản hồi về mối đe dọa này, song người dùng sẽ phải chờ đến tháng 12 để nhận bản vá bảo mật chính thức.
Mối đe dọa Pixnapping là gì?
Pixnapping là kết quả nghiên cứu của nhóm chuyên gia đến từ Đại học California (Berkeley và San Diego), Đại học Washington và Đại học Carnegie Mellon. Theo nhóm nghiên cứu, cuộc tấn công này có thể nhắm vào một số dòng Google Pixel và Samsung Galaxy, cho phép tin tặc chiếm đoạt mã 2FA chỉ trong vài chục giây.
Mặc dù thử nghiệm mới chỉ thực hiện trên một số thiết bị cụ thể, các chuyên gia cảnh báo rằng cơ chế cốt lõi của cuộc tấn công tồn tại trên hầu hết thiết bị Android hiện nay.
Ảnh minh họa
Cách thức hoạt động của Pixnapping
Theo các nhà nghiên cứu Christopher Fletcher, Pranav Gopalkrishnan, David Kohlbrenner, Riccardo Paccagnella, Hovav Shacham, Alan Wang và Yingchen Wang, Pixnapping khai thác kênh phụ đồ họa để truy xuất từng điểm ảnh hiển thị trên ứng dụng mục tiêu — chẳng hạn Google Authenticator.
Nói cách khác, Pixnapping có thể “chụp màn hình” ứng dụng mà không cần quyền truy cập chụp màn hình. Bằng cách khôi phục các điểm ảnh nhạy cảm, tin tặc có thể tái tạo hình ảnh hoàn chỉnh của mã xác thực 2FA - tất cả chỉ trong dưới 30 giây.
Điều đáng lo ngại là bất kỳ ứng dụng Android nào, kể cả khi không có quyền truy cập đặc biệt, đều có thể thực hiện tấn công này. Nghiên cứu cũng cho thấy các thông tin hiển thị khác như tin nhắn, email hoặc dữ liệu nhạy cảm trên màn hình cũng có thể bị rò rỉ.
Mức độ rủi ro và giới hạn
Tin tốt là dữ liệu không hiển thị trên màn hình sẽ không bị ảnh hưởng. Ngoài ra, cuộc tấn công chỉ có thể xảy ra khi người dùng vô tình cài đặt ứng dụng độc hại có chứa mã khai thác Pixnapping.
Các thiết bị được xác nhận dễ bị tấn công
Theo báo cáo nghiên cứu, các thiết bị sau đây dễ bị ảnh hưởng:
- Google Pixel 6
- Google Pixel 7
- Google Pixel 8
- Google Pixel 9
- Samsung Galaxy S25
Các mẫu máy trên chạy hệ điều hành Android 13–16.
Phản hồi từ Google
Đại diện Google cho biết, chưa ghi nhận trường hợp Pixnapping bị khai thác trong thực tế, song lỗ hổng đã được một phần khắc phục trong bản vá bảo mật tháng 9/2025 (CVE-2025-48561), người dùng nên cập nhật bản vá này.
“Chúng tôi sẽ phát hành bản vá bổ sung để xử lý triệt để vấn đề trong bản tin bảo mật Android tháng 12 tới”, người phát ngôn của Google xác nhận.
