Dữ liệu này có thể bao gồm thông tin riêng tư nhạy cảm như tin nhắn trò chuyện từ các ứng dụng liên lạc Signal, email trên Gmail hoặc mã xác thực hai yếu tố (2FA) từ Google Authenticator. Cuộc tấn công đã được một nhóm bao gồm 7 nhà nghiên cứu tại các trường đại học của Mỹ phát hiện, có thể hoạt động trên các thiết bị Android đã được vá lỗi và đánh cắp mã 2FA trong vòng chưa đến 30 giây.

Google đã cố gắng khắc phục sự cố (CVE-2025-48561) trong bản cập nhật Android tháng 9/2025. Tuy nhiên, các nhà nghiên cứu đã có thể bypass để khai thác lỗ hổng, dự kiến ​​một giải pháp bảo mật mới sẽ được công bố trong bản cập nhật bảo mật Android tháng 12/2025.

Cách thức hoạt động của Pixnapping

Cuộc tấn công bắt đầu bằng một ứng dụng độc hại lạm dụng hệ thống intents của Android, để khởi chạy ứng dụng hoặc trang web mục tiêu, do đó cửa sổ của ứng dụng hoặc trang web đó sẽ được gửi đến tiến trình hệ thống (SurfaceFlinger), tiến trình này có trách nhiệm kết hợp nhiều cửa sổ khi chúng hiển thị cùng một lúc.

Ở bước tiếp theo, ứng dụng độc hại sẽ ánh xạ các pixel mục tiêu (ví dụ, các pixel tạo thành chữ số của mã 2FA) và xác định thông qua nhiều thao tác đồ họa xem chúng có màu trắng hay không phải màu trắng.

Việc cô lập từng điểm ảnh có thể được thực hiện thông qua “masking activity”, nằm ở phía trước và ẩn ứng dụng mục tiêu. Sau đó, kẻ tấn công sẽ thay đổi cửa sổ che phủ thành “toàn bộ các điểm ảnh màu trắng đục, ngoại trừ điểm ảnh tại vị trí do kẻ tấn công chọn, được thiết lập để trong suốt”.

Trong quá trình tấn công Pixnapping, các điểm ảnh bị cô lập được phóng to, tận dụng “quirk” trong cách SurfaceFlinger thực hiện hiệu ứng làm mờ tạo ra hiệu ứng giống như kéo giãn.

Vùng mờ được kéo dài thành một mảng màu lớn hơn

Sau khi khôi phục tất cả các điểm ảnh của nạn nhân, kỹ thuật OCR được sử dụng để phân biệt từng ký tự hoặc chữ số. Các nhà nghiên cứu giải thích: “Về mặt khái niệm, ứng dụng độc hại này giống như đang chụp ảnh màn hình nội dung mà nó không được phép truy cập”.

Để đánh cắp dữ liệu, các nhà nghiên cứu đã sử dụng cuộc tấn công kênh kề GPU.zip, khai thác khả năng nén dữ liệu đồ họa trong GPU để làm rò rỉ thông tin hình ảnh. Mặc dù tỷ lệ rò rỉ tương đối thấp, chỉ từ 0,6 đến 2,1 pixel mỗi giây, nhưng các tối ưu hóa do các nhà nghiên cứu chứng minh cho thấy mã 2FA hoặc dữ liệu nhạy cảm khác có thể bị đánh cắp trong vòng chưa đến 30 giây.

Tác động đến Android

Các nhà nghiên cứu đã trình diễn kỹ thuật tấn công Pixnapping trên các thiết bị Google Pixel 6, 7, 8 và 9, cũng như Samsung Galaxy S25, chạy Android phiên bản 13 đến 16 và tất cả đều dễ bị tấn công kênh kề mới.

Vì cơ chế cơ bản khiến Pixnapping có hiệu quả đối với các phiên bản Android cũ hơn, nên có khả năng hầu hết các thiết bị Android và phiên bản hệ điều hành cũ cũng dễ bị tấn công. Cả Google và Samsung đều cam kết khắc phục các lỗ hổng trước khi kết thúc năm 2025, nhưng không có nhà cung cấp chip GPU nào công bố kế hoạch vá lỗi cho cuộc tấn công kênh kề GPU.zip.

Mặc dù phương pháp khai thác ban đầu đã được giảm thiểu vào tháng 9/2025, tuy nhiên tấn công Pixnapping cho thấy có thể bypass bản vá lỗi này. Do vậy, Google cho biết đã phát triển một bản vá với nhiều tính năng mới sẽ được phát hành cùng với các bản cập nhật bảo mật Android tháng 12/2025.

Google thông tin rằng, việc khai thác kỹ thuật này đòi hỏi dữ liệu cụ thể về thiết bị mục tiêu, điều này dẫn đến tỷ lệ thành công thấp. Gã khổng lồ công nghệ cũng lưu ý, dựa trên các phát hiện hiện tại, không có ứng dụng độc hại nào khai thác Pixnapping được tìm thấy trên Google Play.