{"id":49455,"date":"2025-10-14T22:49:10","date_gmt":"2025-10-14T22:49:10","guid":{"rendered":"https:\/\/www.europesays.com\/pl\/49455\/"},"modified":"2025-10-14T22:49:10","modified_gmt":"2025-10-14T22:49:10","slug":"atak-pixnapping-na-androidzie-pozwala-na-kradziez-kodow-2fa-bez-specjalnych-uprawnien-poprzez-manipulacje-zrzutami-ekranu","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/pl\/49455\/","title":{"rendered":"Atak PixNapping na Androidzie pozwala na kradzie\u017c kod\u00f3w 2FA bez specjalnych uprawnie\u0144 poprzez manipulacj\u0119 zrzutami ekranu"},"content":{"rendered":"

\"AtakUwierzytelnianie dwusk\u0142adnikowe (2FA) sta\u0142o si\u0119 standardem, chroni\u0105c nasze dane przed nieautoryzowanym dost\u0119pem. Wi\u0119kszo\u015b\u0107 u\u017cytkownik\u00f3w ufa tej metodzie jako solidnej barierze obronnej. Jednak badacze bezpiecze\u0144stwa nieustannie odkrywaj\u0105 nowe wektory atak\u00f3w, kt\u00f3re potrafi\u0105 omin\u0105\u0107 nawet tak sprawdzone zabezpieczenia. Zagro\u017cenie mo\u017ce jednak czai\u0107 si\u0119 w jednej z najcz\u0119\u015bciej wykonywanych i pozornie nieszkodliwych czynno\u015bci na smartfonie.<\/p>\n

Atak PixNapping wykorzystuje luk\u0119 w Androidzie, aby podmieni\u0107 zrzut ekranu u\u017cytkownika na fa\u0142szywy i w tle wykra\u015b\u0107 orygina\u0142 z wra\u017cliwymi danymi.<\/p>\n

\"Atak<\/a><\/p>\n

Twoja gamingowa myszka mo\u017ce Ci\u0119 pods\u0142uchiwa\u0107. Sensory PixArt PAW3395 i PAW3399 zagra\u017caj\u0105 prywatno\u015bci u\u017cytkownik\u00f3w<\/a><\/p>\n

Zesp\u00f3\u0142 naukowc\u00f3w z University of California Berkeley, Carnegie Mellon University i University of Washington przedstawi\u0142 now\u0105 klas\u0119 atak\u00f3w na urz\u0105dzenia Android<\/a>. Technika Pixnapping<\/a> pozwala z\u0142o\u015bliwym aplikacjom na kradzie\u017c danych piksel po pikselu z ekran\u00f3w innych aplikacji. Atak wykorzystuje luki w Android API oraz podatno\u015b\u0107 sprz\u0119tow\u0105 GPU.zip, kt\u00f3ra dotyczy nowoczesnych procesor\u00f3w graficznych<\/a>. Pixnapping stanowi ewolucj\u0119 atak\u00f3w pixel stealing<\/a> znanych z przegl\u0105darek internetowych od 2013 roku. Badacze zaadaptowali t\u0119 metod\u0119 na platform\u0119 mobiln\u0105, obchodz\u0105c wszystkie zabezpieczenia<\/a> stosowane w przegl\u0105darkach. W przeciwie\u0144stwie do wcze\u015bniejszych technik, nowy atak mo\u017ce wykrada\u0107 dane zar\u00f3wno ze stron internetowych, jak i natywnych aplikacji Android. Mechanizm dzia\u0142ania bazuje na trzech krokach. Najpierw z\u0142o\u015bliwa aplikacja u\u017cywa Android Intents<\/a> do otwierania docelowych aplikacji i przesy\u0142ania ich pikseli do potoku renderowania. Nast\u0119pnie tworzy stos p\u00f3\u0142przezroczystych aktywno\u015bci nak\u0142adanych na aplikacj\u0119 ofiary, co pozwala na izolacj\u0119 i powi\u0119kszenie pojedynczych pikseli. Ostatnim etapem jest pomiar czas\u00f3w renderowania klatek, kt\u00f3re r\u00f3\u017cni\u0105 si\u0119 w zale\u017cno\u015bci od koloru pikseli ze wzgl\u0119du na kompresj\u0119 danych graficznych GPU.<\/p>\n

Mistrzostwa \u015awiata w Pi\u0142ce No\u017cnej 2026 na celowniku haker\u00f3w. Zagro\u017cenia obejmuj\u0105 fa\u0142szywe bilety, streaming i towary<\/a><\/p>\n

Badacze przetestowali Pixnapping na smartfonach Google Pixel<\/a> 6, 7, 8, 9 oraz Samsung Galaxy S25<\/a>. Na urz\u0105dzeniach Pixel uda\u0142o si\u0119 skutecznie wykra\u015b\u0107 kody 2FA z Google Authenticator<\/a> w ci\u0105gu 14-25 sekund, osi\u0105gaj\u0105c skuteczno\u015b\u0107 od 29 do 73 proc. w zale\u017cno\u015bci od modelu. Atak dzia\u0142a r\u00f3wnie\u017c na dane z Gmail, Signal, Venmo, Google Maps czy Google Messages. Luka oznaczona jako CVE-2025-48561<\/a> zosta\u0142a zg\u0142oszona Google w lutym 2025 roku. Firma wyda\u0142a cz\u0119\u015bciow\u0105 \u0142atk\u0119 we wrze\u015bniu, jednak badacze odkryli spos\u00f3b na jej obej\u015bcie. Pe\u0142ne zabezpieczenie ma zosta\u0107 wprowadzone w grudniowym biuletynie bezpiecze\u0144stwa Android. Samsung sklasyfikowa\u0142 problem jako nisk\u0105 wag\u0119 ze wzgl\u0119du na z\u0142o\u017cono\u015b\u0107 sprz\u0119tow\u0105 swoich urz\u0105dze\u0144. Wielokrotnie informowali\u015bmy o problemach bezpiecze\u0144stwa w urz\u0105dzeniach mobilnych, w tym o shakowaniu Samsunga Galaxy S23 podczas konkursu Pwn2Own<\/a> czy lukach w Android. Problem Pixnapping pokazuje, jak zaawansowane mog\u0105 by\u0107 wsp\u00f3\u0142czesne metody atak\u00f3w wykorzystuj\u0105ce szczeg\u00f3\u0142y implementacji system\u00f3w operacyjnych i sprz\u0119tu graficznego.<\/p>\n

\"Atak<\/a><\/p>\n

\u0179r\u00f3d\u0142o: Pixnapping, BitDefender, Ars Technica<\/p>\n","protected":false},"excerpt":{"rendered":"Uwierzytelnianie dwusk\u0142adnikowe (2FA) sta\u0142o si\u0119 standardem, chroni\u0105c nasze dane przed nieautoryzowanym dost\u0119pem. Wi\u0119kszo\u015b\u0107 u\u017cytkownik\u00f3w ufa tej metodzie jako…\n","protected":false},"author":2,"featured_media":49456,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[20],"tags":[13505,633,425,13506,2363,13507,13508,13509,3709,427,120,118,119,13510,42,38,40,39,41,13511,116,114,115,121,117,13512,13513,13514],"class_list":{"0":"post-49455","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-nauka-i-technika","8":"tag-2fa","9":"tag-android","10":"tag-bezpieczenstwo","11":"tag-cve-2025-48561","12":"tag-cyberbezpieczenstwo","13":"tag-google-pixel","14":"tag-gpu-zip","15":"tag-luka","16":"tag-luka-w-zabezpieczeniach","17":"tag-malware","18":"tag-nauka","19":"tag-nauka-i-technika","20":"tag-naukatechnika","21":"tag-pixnapping","22":"tag-pl","23":"tag-poland","24":"tag-polish","25":"tag-polska","26":"tag-polski","27":"tag-samsung-galaxy","28":"tag-science","29":"tag-science-and-technology","30":"tag-sciencetechnology","31":"tag-technika","32":"tag-technology","33":"tag-uwierzytelnianie","34":"tag-uwierzytelnianie-dwuskladnikowe","35":"tag-zlosliwe-oprogramowanie"},"share_on_mastodon":{"url":"","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/posts\/49455","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/comments?post=49455"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/posts\/49455\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/media\/49456"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/media?parent=49455"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/categories?post=49455"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/tags?post=49455"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}