Lỗ hổng “Pixnapping” trên Android cho phép ứng dụng giả mạo đánh cắp mã 2FA mà không cần quyền truy cập

Một cuộc tấn công mới tên Pixnapping khai thác kênh phụ điều khiển pixel màn hình, giúp ứng dụng âm thầm trích xuất mã xác thực hai yếu tố và dữ liệu nhạy cảm mà người dùng không hay biết.

Pixnapping – lỗ hổng Android táo bạo nhắm vào mã 2FA và dữ liệu hiển thị trên màn hình
Các nhà nghiên cứu bảo mật mới đây đã phát hiện một loại tấn công mới mang tên Pixnapping, nhắm vào thiết bị Android. Điểm đặc biệt là ứng dụng giả mạo không cần được cấp quyền đặc biệt nhưng vẫn có thể theo dõi dữ liệu hiển thị trên màn hình thiết bị — bao gồm mã 2FA, tin nhắn riêng tư, thông tin tài chính…

Cách thức hoạt động của Pixnapping

• Kẻ tấn công yêu cầu người dùng cài đặt một ứng dụng giả mạo. Ứng dụng này không yêu cầu quyền truy cập đặc biệt như đọc SMS hay quyền truy cập dữ liệu khác.

• Ứng dụng giả mạo kích hoạt hoạt động nền, tận dụng kênh phụ (“side channel”) từ GPU hoặc pipeline hiển thị trên thiết bị để quan sát màn hình của các ứng dụng khác.

• Bằng cách đo thời gian xử lý hoặc trạng thái hình ảnh của các pixel cụ thể – ví dụ trong ứng dụng 2FA – có thể tái tạo mã xác thực hoặc thông tin nhạy cảm từ màn hình.

• Sau khi trích xuất được dữ liệu, kẻ tấn công có thể sử dụng hoặc gửi dữ liệu ra ngoài mà người dùng không nhận biết.

Tầm ảnh hưởng và mức độ nguy hiểm

• Lỗ hổng ảnh hưởng tới nhiều thiết bị Android cao cấp, bao gồm các dòng mới của một số hãng nổi tiếng.

• Vì không cần yêu cầu quyền đặc biệt, ứng dụng độc hại có thể lừa người dùng dễ dàng hơn – chỉ cần tải xuống và mở như app thông thường.

• Dữ liệu bị ảnh hưởng có thể là thông tin dùng một lần (OTP), tin nhắn, dữ liệu ngân hàng, hoặc nội dung riêng tư trên các ứng dụng nhắn tin.

• Khó bị phát hiện vì không có dấu hiệu rõ ràng như quyền truy cập danh bạ hay SMS bị cấp — ứng dụng hoạt động “âm thầm” bên trong nền hệ thống.

Giải pháp bảo vệ người dùng Android

1. Cập nhật hệ điều hành và bản vá bảo mật mới nhất ngay khi có — lỗ hổng như Pixnapping cần được khắc phục từ cấp hệ thống.

2. Chỉ tải ứng dụng từ Google Play hoặc nhà phát triển uy tín; tuyệt đối tránh tải file APK từ nguồn bên ngoài hoặc trang web không rõ ràng.

3. Kiểm tra quyền truy cập ứng dụng thường xuyên và thu hồi quyền cho ứng dụng không cần thiết hoặc có biểu hiện hoạt động nền bất thường.

4. Cẩn trọng với các ứng dụng yêu cầu chạy nền hoặc thao tác mà người dùng không hiểu rõ — nếu một ứng dụng yêu cầu bật chế độ nền để “tối ưu hóa” nhưng không rõ chức năng, hãy nghi ngờ.

5. Sử dụng phần mềm bảo mật di động có khả năng phát hiện hành vi bất thường như ứng dụng giám sát màn hình hoặc khai thác kênh phụ.

Cuộc tấn công Pixnapping là lời nhắc rõ ràng rằng ngay cả những dữ liệu hiển thị trên màn hình cũng không an toàn nếu thiết bị bị khai thác kênh phụ. Trong bối cảnh người dùng ngày càng phụ thuộc vào mã 2FA và ứng dụng di động cho bảo mật, việc bảo vệ thiết bị và lựa chọn ứng dụng cẩn trọng là cực kỳ cần thiết.

Hương - Theo TheHackerNews