Source: https://www.darkreading.com/vulnerabilities-threats/pixnapping-attack-attackers-2fa-android
🛡 概要
最近、Androidに特化した新しい攻撃手法「Pixnapping」が発表され、特定のAndroidデバイスから二要素認証(2FA)情報を盗む可能性があることがわかりました。この攻撃は、カリフォルニア大学バークレー校やワシントン大学、サンディエゴ校、カーネギーメロン大学の研究チームによって開発されました。研究者たちは、悪意のあるAndroidアプリが他のアプリやウェブサイトに表示される情報を密かに漏洩させる新たな攻撃手法としてこの技術を位置付けています。特に、GoogleやSamsungのデバイスで確認されており、GmailやGoogleアカウント、Signal、Google Authenticator、Venmoなどからの敏感なデータの回収が可能であることが実証されています。
🔍 技術詳細
ピクスナッピング攻撃は、CVE-2025-48561として識別され、Android APIやハードウェアのサイドチャネルを利用することで、ほとんどすべての現代的なAndroidデバイスに影響を与える可能性があります。この攻撃は、ユーザーが開いているアプリの中で表示される情報を盗むもので、特に2FAコードやメール、チャットメッセージなどの秘密情報が対象となります。研究者たちは、AndroidのウィンドウぼかしAPIやVSyncコールバックなどの複数のAPIを利用して、異なるAndroidアクティビティ間でピクセルをキャプチャすることに成功しました。これにより、ユーザーが見ている画面上の情報を攻撃者が取得できる仕組みが構築されています。
⚠ 影響
この攻撃は、Googleのセキュリティパッチがリリースされたにもかかわらず、依然として脆弱性が存在することを示しています。特に、Googleは2023年9月に一部緩和策を発表しましたが、研究者たちはその後も回避策が見つかったと報告しています。ユーザーがこの脆弱性を悪用されるリスクは依然として存在し、特に悪意のあるアプリがGoogle Playに存在しない限り、感染の可能性は低いものの、注意が必要です。攻撃者はこの手法を利用して、ユーザーのデータを収集するための社会工学的な攻撃を行う可能性があります。
🛠 対策
ピクスナッピング攻撃に対する具体的な対策はまだ明確ではありませんが、ユーザーはAndroidのセキュリティアップデートを最新の状態に保つことが推奨されています。また、アプリ開発者に対しては、現時点での緩和策は不明であり、もし有効な対策があれば研究者たちに通知するよう呼びかけています。ユーザーは、信頼できるアプリのみを使用し、不審なアプリをインストールしないことが重要です。また、二要素認証を利用している場合でも、他のセキュリティ対策を併用することが効果的です。
