Archiwa: Malware - Strona 162 z 165 - Security Bez Tabu

Tag: Malware

Android „Pixnapping”: nowy atak na piksele wykrada kody 2FA i dane z aplikacji

Wprowadzenie do problemu / definicja luki

Pixnapping to nowa klasa ataków na Androida pozwalająca złośliwej aplikacji „podejrzeć” zawartość ekranu innej aplikacji lub witryny – jakby robiła jej zdalny zrzut, ale bez uprawnień i bez interakcji użytkownika. Badacze pokazali, że możliwe jest m.in. odczytanie kodów 2FA z Google Authenticator, fragmentów Gmaila czy treści z aplikacji Signal i Venmo. Google przypisało podatności identyfikator CVE-2025-48561. Częściowa łatka znalazła się w biuletynie zabezpieczeń z września 2025, a pełniejsze poprawki Google zapowiada na grudzień 2025. Nie ma śladów wykorzystania „in the wild”.

W skrócie

  • Co to jest: Ramy ataku, które umożliwiają wyciek pikseli z ekranu innej aplikacji/strony poprzez zestaw legalnych API Androida i kanał boczny w GPU.
  • Na co działa: Zademonstrowano na Pixel 6–9 i Samsung Galaxy S25 (Android 13–16, do buildu BP3A.250905.014). Inne urządzenia najpewniej też są podatne.
  • Uprawnienia: Brak – złośliwa aplikacja nie potrzebuje żadnych zezwoleń w manifeście.
  • Szybkość wycieku: ~0,6–2,1 piksela/s – wystarczająco do odzyskania 6-cyfrowych kodów TOTP.
  • Status łatek: Wrzesień 2025 – częściowa, obejście istnieje; zapowiedziano kolejną w grudniu 2025.

Kontekst / historia / powiązania

Pixnapping łączy dwie linie badań:

  1. GPU.zip – kanał boczny wynikający z zależnej od danych, transparentnej dla oprogramowania kompresji graficznej w nowoczesnych GPU. Pozwala wnioskować o kolorze pikseli na podstawie czasu renderowania/pasmo pamięci.
  2. Android Custom Tabs / „Tabbed Out” – analiza modelu bezpieczeństwa komponentu Custom Tabs (IEEE S&P 2024), która zainspirowała część wektora inicjowania renderowania zawartości ofiary.

Artykuł The Register z 13 października 2025 opisuje Pixnapping i przytacza stanowisko Google o częściowej łatce (wrzesień) oraz planach na grudzień.

Analiza techniczna / szczegóły luki

Model zagrożenia. Zainstalowana aplikacja (bez specjalnych uprawnień) inicjuje sekwencję, w której:

  1. Wypycha piksele ofiary do potoku renderowania – np. uruchamia Google Authenticator/Gmail poprzez Android Intents, aby ich UI został narysowany.
  2. Nakłada półprzezroczyste „Activities” nad wybranym obszarem ekranu i indukuje operacje graficzne (użyto window blur API). Czas renderowania zależy od danych (koloru piksela).
  3. Mierzy czas (VSync callbacks) i przez kanał boczny GPU.zip odtwarza wartości pikseli – następnie OCR składa znaki (np. cyfry TOTP).

Dlaczego to działa? W GPU (np. Mali w Pixelach) bezstratna kompresja graficzna ma współczynnik kompresji zależny od danych, co przekłada się na różnice w czasie renderowania/zużyciu przepustowości – możliwe do pomiaru z aplikacji użytkownika.

Identyfikator CVE i metryki. CVE-2025-48561 opisuje ujawnienie informacji przez kanał boczny w wielu miejscach kodu, bez wymaganych dodatkowych uprawnień i bez interakcji użytkownika. NVD klasyfikuje ją obecnie (CVSS 3.x) jako MEDIUM 5.5 (ocena może ulec zmianie wraz z uzupełnieniem metadanych).

Łatki Google. Pierwsza zmiana ogranicza liczbę wywołań rozmycia (blur) akceptowanych przez system kompozytujący SurfaceFlinger („Don’t blur too many layers”, limit 10 „front-most” blurów). Badacze wskazują jednak, że znaleźli obejście – szczegóły pod embargiem. Kolejne poprawki zapowiedziano na grudzień 2025.

Praktyczne konsekwencje / ryzyko

  • Wykradanie kodów 2FA (TOTP) z aplikacji wyświetlających je wprost (np. Google Authenticator). To realnie obniża skuteczność MFA opartego wyłącznie na TOTP na podatnych urządzeniach.
  • Podgląd treści komunikatorów i e-maili, jeśli ekran aplikacji jest renderowany w momencie ataku.
  • Fingerprinting aplikacji zainstalowanych w systemie – badacze wskazują wektor ominięcia mechanizmów prywatności listy aplikacji (Google ocenił „won’t fix (infeasible)”).
  • Brak uprawnień → potencjalnie większa skala dystrybucji w razie pojawienia się malware’u wykorzystującego exploit (choć Google deklaruje, że na Play nie wykryto takich aplikacji).

Rekomendacje operacyjne / co zrobić teraz

Dla zespołów SecOps / MDM (organizacje):

  1. Wymuś aktualizacje systemu – natychmiast instaluj poprawki z września 2025 i egzekwuj instalację po grudniowym biuletynie. Ustal wskaźniki zgodności (compliance) na poziomie floty.
  2. Tymczasowe zasady aplikacyjne:
    • Ogranicz użycie lokalnych aplikacji TOTP na urządzeniach o wysokim ryzyku; preferuj FIDO2/WebAuthn/klucze sprzętowe lub push-MFA z potwierdzeniem kontekstowym. (Wniosek na podstawie ryzyka opisanego przez badaczy).
    • W politykach EDR/MDM monitoruj nietypowe nakładanie Activities i intensywne wywołania blur (heurystyka na wzorzec PoC). (Wniosek na podstawie patcha i opisu ataku).
  3. Hardening przeglądarki/aplikacji biznesowych: Włączaj tryby ograniczające osadzanie (X-Frame-Options/CSP frame-ancestors) oraz przegląd konfiguracji Custom Tabs (np. Ephemeral Tabs, jeśli dostępne). (Kontekst badań „Tabbed Out”).

Dla deweloperów Android:

  • Minimalizuj ekspozycję wrażliwych danych na UI (maskowanie, ukrywanie kodów TOTP, skrócone okno wyświetlania). To nie eliminuje luki systemowej, ale zmniejsza powierzchnię ataku. (Wniosek na podstawie modelu wycieku pikseli).
  • Wykrywaj nakładki/„draw over” i nietypowe przełączanie się Activities nad Twoją aplikacją; w razie detekcji ukrywaj wrażliwe elementy UI. (Heurystyka defensywna wynikająca z opisu PoC).
  • Rozważ weryfikację kontekstu przed renderowaniem sekretów (np. wymuszenie interakcji, dodatkowy unlock, brak aktywnych nakładek). (Wniosek na podstawie wektora ataku).

Dla użytkowników:

  • Aktualizuj Androida jak tylko pojawi się poprawka; ogranicz instalację aplikacji spoza Google Play. Google deklaruje, że nie wykryto aplikacji wykorzystujących CVE-2025-48561 w Play.
  • Preferuj MFA odporne na podsłuch (klucze bezpieczeństwa/FIDO2) tam, gdzie to możliwe. (Rekomendacja wynikająca z natury ataku na TOTP).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Klasyczne ataki iframe/timing (2013) zostały w dużej mierze zmitigowane w przeglądarkach. Pixnapping wskrzesza ideę „kradzieży pikseli”, ale poza przeglądarką – na poziomie stosów UI Androida + kanału GPU.
  • GPU.zip (2023/2024) pokazał, że kompresja graficzna sama w sobie jest kanałem bocznym. Pixnapping wykorzystuje podobną obserwację, lecz łączy ją z nakładaniem Activities i blur API, co daje praktyczny wyciek z natywnych aplikacji mobilnych.

Podsumowanie / kluczowe wnioski

Pixnapping (CVE-2025-48561) to realny, choć niskoprzepustowy, wektor boczny na Androidzie, zdolny do kradzieży kodów 2FA i fragmentów danych aplikacji bez uprawnień. Częściowe łatanie po stronie Androida (limitowanie wywołań „blur”) nie zamyka jeszcze problemu – badacze wskazują obejście, a pełniejsze poprawki są w drodze. Organizacje powinny przyspieszyć patchowanie oraz ograniczyć zależność od TOTP na urządzeniach mobilnych wysokiego ryzyka, preferując FIDO2.

Źródła / bibliografia

  1. Strona projektu Pixnapping (paper, Q&A, timeline). (pixnapping.com)
  2. The Register: „Android ‘Pixnapping’ attack can capture app data like 2FA codes” (13.10.2025). (The Register)
  3. NVD: wpis CVE-2025-48561 (opis, metryki). (NVD)
  4. Android AOSP / googlesource: commit „Don’t blur too many layers” (ograniczenie wywołań blur). (Android Git Repositories)
  5. GPU.zip – strona i preprint (kanał boczny kompresji graficznej). (hertzbleed.com)

Hiszpania rozbija syndykat „GXC Team”. Zatrzymano 25-letniego lidera „GoogleXcoder”

Wprowadzenie do problemu

Hiszpańska Guardia Civil rozbiła działający na Telegramie i rosyjskojęzycznych forach syndykat cyberprzestępczy „GXC Team”, aresztując jego domniemanego lidera — 25-letniego Brazylijczyka znanego jako „GoogleXcoder”. Grupa sprzedawała w modelu Crime-as-a-Service (CaaS) zestawy phishingowe z funkcjami AI, złośliwe aplikacje na Androida do przechwytywania SMS/OTP oraz narzędzia do scamów głosowych. Celem były m.in. banki, firmy transportowe i e-commerce w Hiszpanii oraz innych krajach.

Czytaj dalej „Hiszpania rozbija syndykat „GXC Team”. Zatrzymano 25-letniego lidera „GoogleXcoder””

Etyka Kontra Moralność W Cyberbezpieczeństwie

Da się ≠ Wolno ≠ Warto

Moralność potrafi usprawiedliwić krzywdę. Etyka stawia granice. To prowokacyjne stwierdzenie każe zastanowić się, czy zawsze to, co uznajemy za moralne, jest naprawdę słuszne. W życiu codziennym, a szczególnie w świecie cyberbezpieczeństwa, granica między tym co można, tym co wolno a tym co warto bywa rozmyta. Specjaliści ds. bezpieczeństwa dysponują ogromnymi możliwościami – potrafią w kilka chwil uzyskać dostęp do poufnych danych lub wyłączyć kluczowe systemy. Dlatego pytanie „czy to zrobić?” nie może kończyć się na „czy potrafię” ani nawet na „czy mam pozwolenie”. Musimy pójść o krok dalej i zapytać: czy warto to zrobić – czy to jest słuszne i odpowiedzialne?.

Czytaj dalej „Etyka Kontra Moralność W Cyberbezpieczeństwie”

Kompletny Przewodnik Po Promptach AI – Ponad 100 Gotowych Rozwiązań

Fundamenty efektywnego promptowania

Prompty AI to nic innego jak instrukcje lub pytania, które zadajemy modelom sztucznej inteligencji (np. ChatGPT), aby uzyskać od nich użyteczną odpowiedź. Odpowiednio sformułowane prompty potrafią znacznie usprawnić pracę specjalistów ds. bezpieczeństwa informacji – od analizy zagrożeń, przez automatyzację żmudnych zadań, po cele edukacyjne. Nic dziwnego, że w ostatnim czasie ChatGPT stał się gorącym tematem w IT – znajduje coraz szersze zastosowanie, także w cybersecurity.

Czytaj dalej „Kompletny Przewodnik Po Promptach AI – Ponad 100 Gotowych Rozwiązań”

SIGMA –Uniwersalny Język Reguł Detekcji: Od Podstaw do Integracji z SIEM – Część 3

Studium przypadków i praktyczna integracja z systemami bezpieczeństwa

W części pierwszej oraz częsci drugiej omówiliśmy, czym jest Sigma, jak wygląda struktura jej reguł w formacie YAML oraz jak można konwertować je do języków zapytań konkretnych platform SIEM i EDR – takich jak Splunk, Elastic, Sentinel czy QRadar. Poznaliśmy też rolę Sigma w ustandaryzowaniu procesu detekcji i w budowie spójnych mechanizmów obronnych w środowiskach hybrydowych.

Czytaj dalej „SIGMA –Uniwersalny Język Reguł Detekcji: Od Podstaw do Integracji z SIEM – Część 3”

Call for Papers w cyberbezpieczeństwie

Czym jest Call for Papers (CfP)?

Call for Papers (w skrócie CfP) to otwarte wezwanie do nadsyłania propozycji wystąpień na konferencję lub inne wydarzenie branżowe. Organizatorzy ogłaszają CfP, aby zachęcić specjalistów do podzielenia się wiedzą – zarówno najnowszymi badaniami, jak i praktycznym doświadczeniem. W ramach CfP każdy chętny może przesłać streszczenie swojego potencjalnego wystąpienia, a komisja programowa wybiera z nadesłanych zgłoszeń te, które trafią do agendy wydarzenia.

Czytaj dalej „Call for Papers w cyberbezpieczeństwie”

SIGMA – Uniwersalny Język Reguł Detekcji: Od Podstaw Do Integracji Z SIEM – Część 1

Wprowadzenie do detekcji opartej na logach i problemu braku standaryzacji

Detekcja zagrożeń oparta na logach jest fundamentem działania zespołów bezpieczeństwa (SOC) – to dzięki analizie dzienników zdarzeń systemów i aplikacji można wykrywać niepożądane aktywności. Historycznie jednak każde narzędzie SIEM (Security Information and Event Management) czy system analizy logów wprowadzało własny język zapytań lub reguł detekcji.

Czytaj dalej „SIGMA – Uniwersalny Język Reguł Detekcji: Od Podstaw Do Integracji Z SIEM – Część 1”