Skupina výzkumníků objevila nový útok nazvaný Pixnapping, který umožňuje infikované aplikaci přečíst pixely na obrazovce a rekonstruovat citlivá data — včetně kódů dvoufaktorového ověřování, e‑mailů a zpráv — za méně než 30 sekund, a to bez nutnosti rootu či rozsáhlých oprávnění.
Pokud vlastníte telefon Samsung nebo Google Pixel, mějte se na pozoru: skupina výzkumníků objevila závažnou chybu v systému Android, která umožňuje odcizit osobní údaje za méně než půl minuty, včetně kódů dvoufaktorového ověřování, e-mailů a soukromých zpráv. Útok se nazývá „Pixnapping“, a přestože zní jako název hackerského filmu, je bohužel zcela reálný.
Útok Pixnapping krade pixely a soukromí
Na rozdíl od jiných útoků nevyžaduje útok Pixnapping zvláštní oprávnění ani nezneužívá přístup k rootu nebo zranitelnosti jádra: vyžaduje pouze, aby si oběť nainstalovala zdánlivě neškodnou škodlivou aplikaci. Od tohoto okamžiku může software „číst“ pixely, které na telefonu zobrazují jiné aplikace, a pomocí nich rekonstruovat citlivé informace, jako jsou hesla, zprávy, adresy nebo dočasné ověřovací kódy. Jinými slovy, útočník může špehovat to, co se zobrazuje na obrazovce.
„Je to, jako by škodlivá aplikace pořizovala neviditelné snímky obrazovky s obsahem, ke kterému by neměla mít přístup,“ říká v rozhovoru Alan Linghao Wang, hlavní autor výzkumné práce Pixnapping: Bringing Pixel Stealing out of the Stone Age.
Pixnapping allows attackers to steal two-factor authentication (2FA) codes, private messages, and even financial information. https://t.co/rxdeLaDGsE
— ITPro (@ITPro) October 14, 2025
Tento mechanismus připomíná útok GPU.zip z roku 2023, který využíval způsob, jakým grafické procesory vykreslují komprimované obrázky, k odvození hesel nebo uživatelských jmen. V tomto případě jde Pixnapping stejnou cestou, ale aplikovanou na svět Androidu: měří, jak dlouho trvá vykreslení každého pixelu, aby odvodil, zda je bílý, černý nebo jiné barvy. Na základě této informace v kombinaci s matematickou analýzou dokáže rekonstruovat texty nebo čísla, která se objevují na obrazovce, aniž by pořídil přímý snímek obrazovky.
Testováno na zařízeních Pixel a Galaxy S25
Tým testoval Pixnapping na několika modelech Google Pixel (6, 7, 8 a 9) a na telefonu Samsung Galaxy S25. Na telefonech Google dokázal systém rekonstruovat šestimístné kódy Google Authenticator za 14-25 sekund, přičemž míra shody dosahovala až 73 % v závislosti na modelu. V případě telefonu Galaxy S25 nebyl útok tak účinný kvůli „grafickému šumu“, který přidal Samsung, i když se domnívají, že s určitým vylepšením by mohl fungovat stejně dobře.
Aby výzkumníci dodrželi 30sekundový limit dvoufaktorových autentizačních kódů (2FA) před vypršením jejich platnosti, snížili počet vzorků na pixel a upravili časy vykreslování, takže se proces zrychlil bez ztráty přesnosti. Podle serveru Ars Technica jim tyto optimalizace umožnily získat platný kód před vypršením jeho platnosti, což se dosud zdálo bez root přístupu nemožné.
Google již připravuje bezpečnostní záplatu
Společnost Google potvrdila, že na odstranění problému se pracuje. Ve svém zářijovém bezpečnostním bulletinu zveřejnil technologický gigant první částečnou záplatu (CVE-2025-48561) a v prosinci by měla přijít druhá aktualizace, která chybu plně zmírní. Společnost prozatím tvrdí, že nemá žádné důkazy o tom, že by byl útok Pixnapping používán v reálném světě, i když uznává, že zranitelnost vzbuzuje obavy.
Přesto zjištění výzkumníků jasně ukazuje, že Android má stále slepá místa ve své architektuře, zejména ve způsobu, jakým aplikace sdílejí grafické prostředky. A přestože útok není snadné zopakovat mimo laboratoř, protože vyžaduje předchozí instalaci uživatelem, ukazuje, že bariéry mezi aplikacemi jsou křehčí, než si myslíme.
Doporučení pro ochranu
Do příchodu finální záplaty odborníci doporučují udržovat operační systém telefonu aktuální, instalovat aplikace pouze z Google Play a kontrolovat přístupnost nebo oprávnění k překrytí obrazovky. Na druhou stranu je také dobré používat autentizační aplikace s dodatečnou ochranou, jako je například zámek PIN nebo biometrie.
Kromě toho je důležité poučit uživatele o rizicích instalace aplikací z nedůvěryhodných zdrojů. Škodlivé aplikace se často maskují jako legitimní software, proto je nezbytné před stažením jakékoli aplikace ověřit pověst jejího vývojáře a přečíst si recenze. Také používání dalších bezpečnostních nástrojů, například mobilního antiviru, může poskytnout další vrstvu ochrany.
V neposlední řadě hrají při ochraně uživatelů zásadní roli také vývojáři aplikací. Zavedení postupů bezpečného kódování a provádění pravidelných bezpečnostních auditů může pomoci identifikovat a zmírnit zranitelnosti dříve, než je útočníci zneužijí.
Objev Pixnappingu připomíná, že zabezpečení mobilních zařízení je neustále se pohybující cíl. Vzhledem k tomu, že útočníci nacházejí nové způsoby, jak zneužít zranitelnosti, musí vývojáři i uživatelé zůstat ostražití a proaktivní při ochraně svých osobních údajů.