Článek přečtěte do 3 min.

Kódy 2FA se staly součástí našich životů, zejména pokud chceme zůstat v bezpečí

Představte si, že otevřete bankovní aplikaci nebo si zobrazíte kód 2FA pro přihlášení k online službě a nebezpečná aplikace sleduje vaši aktivitu. Nepořizuje snímky obrazovky, nepotřebuje žádná oprávnění – potřebuje pouze nezpracovaný přístup k pixelům, které vidíte.

To jsou základy Pixnappingu, nově objevené zranitelnosti v systému Android, která útočníkům umožňuje krást data přímo z obrazovky telefonu za méně než 30 sekund.

Od triků v prohlížeči ke ukradeným datům

Technika exfiltrace využívající pixely z iframe k odcizení citlivých dat z webových stránek byla poprvé vysvětlena již v roce 2013, takže tato myšlenka není nová. Prohlížeče problém vyřešily přidáním dalších omezení.

Stejný typ problému se objevil znovu v roce 2023 s útokemHot Pixel, který zneužíval moderní grafické procesory a systémy na čipu k odcizení historie prohlížení.

Týmu z UC Berkeley, UC San Diego, Carnegie Mellon a Washingtonské univerzity se nyní podařilo provést stejný druh útoku na Android. Na této platformě se stejný druh „pixelového“ útoku zaměří na vaše zprávy, vaše polohy a vaše kódy 2FA.

Výzkumníci pojmenovali tento nový útok Pixnapping. Zaměřuje se na to, jak Android vykresluje obrázky a přechody mezi aplikacemi. I když oběť používá důvěryhodné aplikace, jako je Gmail, Signal, Venmo nebo Google Authenticator, Pixnapping dokáže zachytit vizuální informace, aniž by vyžadoval zvláštní oprávnění, která by vyžadovaly jiné útoky.

Přestaňte věřit, že vaše obrazovka je soukromá

Pixnapping je nebezpečný, protože zneužívá vizuální vrstvy Androidu.

Útočníci vytvoří aplikaci, která odesílá „záměry“ (volání na úrovni systému) pro otevření běžných aplikací, jako je Gmail, Mapy nebo Signal. Poté na ně vrství poloprůhledné aktivity. Tyto vrstvy ve skutečnosti spouštějí drobné změny vykreslování GPU, které nakonec uvolní informace o barvách pixelů.

Vědci prokázali, že s vhodným načasováním útoku mohou:

  • Obnovte kódy 2FA pro Google Authenticator za méně než 30 sekund.
  • Číst soukromé zprávy ze Signalu a Gmailu.
  • Ukradněte data z časové osy Google Maps, která odhalují minulé polohy.

Tento útok je tak nebezpečný, protože se nespoléhá na snímky obrazovky ani na to, zda uživatel povoluje oprávnění přístupnosti, což je mnohem častější cesta hackerů. Jednoduše měří, jak dlouho trvá telefonu vykreslení každého pixelu.

Jak se chránit před pixnappingem

Kromě těch špatných existují i ​​dobré zprávy. Výzkumníci nahlásili Pixnapping Googlu začátkem roku 2025, který jej označil za „vysoce závažný“. Společnost již vydala bezpečnostní záplaty pro zařízení Pixel.

Společnost Samsung na druhou stranu problém uznala, ale kvůli složitosti hardwaru jej označila za „nízce závažný“. Také zůstává nejasné, zda jsou zařízení Android od jiných výrobců vůči tomuto útoku náchylná.

Zde je návod, jak zůstat v bezpečí:

  1. Okamžitě aktualizujte své zařízení Android. Zkontrolujte aktualizace systému v Nastavení → Zabezpečení → Aktualizace.
  2. Vyhněte se instalaci aplikací z neznámých zdrojů. Držte se oficiálního Obchodu Google Play.
  3. Používejte specializovaná bezpečnostní řešení. Bitdefender Mobile Security pro Android nabízí komplexní sadu nástrojů, které dokáží chránit zařízení sledováním chování aplikací po instalaci.
  4. Zkontrolujte oprávnění a aktivity aplikací. Pokud aplikace neočekávaně otevře jinou aplikaci, odinstalujte ji.

Skutečná ochrana nad rámec pixelů

Bitdefender Mobile Security je navržen tak, aby zachytil pokročilé hrozby dříve, než mohou zneužít zranitelnosti.

Neustále monitoruje vaše aplikace a hledá podezřelé chování – včetně skrytých překryvů a neoprávněného přístupu.

Často kladené otázky: Vše, co potřebujete vědět o Pixnappingu

1. Co je Pixnapping v jednodušších slovech?
Pixnapping je kybernetický útok, který umožňuje hackerům číst, co se zobrazuje na obrazovce vašeho Androidu, aniž by museli pořizovat snímky obrazovky nebo získávat zvláštní oprávnění.

2. Může tento útok postihnout i iPhony?
Ne. Tato konkrétní zranitelnost zneužívá vykreslovací systém systému Android a nevztahuje se na zařízení iOS.

3. Jak rychle dokáže Pixnapping krást data?
V laboratorních testech vědci extrahovali 6místné kódy Google Authenticator za méně než 30 sekund.

4. Je k dispozici oprava?
Ano. Google v roce 2025 opravil zranitelnost (CVE-2025-48561) pro zařízení Pixel. Bohužel je pravděpodobné, že každý výrobce musí svá zařízení opravovat samostatně a úplné zmírnění chyby závisí také na aktualizaci ovladačů grafických karet dodavateli. Ujistěte se, že váš telefon s Androidem je plně aktualizovaný.

5. Co mohou uživatelé dělat, než budou všechny telefony opraveny?
Používejte specializovaná bezpečnostní řešení, aktualizujte zařízení, jakmile jsou vydány opravy, a vyhýbejte se instalaci neznámých aplikací. Všechny tyto kroky dramaticky snižují riziko.

Zdroj: Bitdefender