Giới thiệu Kỹ thuật Tấn công Pixnapping Mới

Các nhà nghiên cứu bảo mật đã công bố một kỹ thuật tấn công mạng mới tinh vi mang tên “Pixnapping”, có khả năng trích xuất mã xác thực hai yếu tố từ Google Authenticator và các ứng dụng di động nhạy cảm khác chỉ trong vòng chưa đầy 30 giây.

Pixnapping khai thác các tính năng cơ bản của hệ thống kết xuất đồ họa Android để tạo ra một cuộc tấn công kênh bên (side-channel attack), đánh cắp dữ liệu pixel từ các ứng dụng của nạn nhân.

Không giống như các cuộc tấn công đánh cắp pixel truyền thống dựa trên trình duyệt bằng cách nhúng các trang web vào iframe, kỹ thuật mới này sử dụng các Android intent để khởi chạy các ứng dụng mục tiêu và lớp phủ các hoạt động bán trong suốt (semi-transparent) do kẻ tấn công kiểm soát lên trên chúng.

Lỗ hổng, được theo dõi là CVE-2025-48561, đại diện cho một bước tiến đáng kể trong các cuộc tấn công đánh cắp pixel, cho phép Pixnapping bỏ qua các biện pháp bảo vệ bảo mật trình duyệt hiện đại và đe dọa người dùng Android trên nhiều nhà sản xuất thiết bị.

Phân tích Kỹ thuật Lỗ hổng CVE-2025-48561

Nguyên lý Hoạt động của Pixnapping

Cuộc tấn công khai thác cách dịch vụ SurfaceFlinger của Android tổng hợp nhiều cửa sổ lại với nhau. Điều này cho phép các ứng dụng độc hại cô lập, phóng to và trích xuất các pixel riêng lẻ từ các ứng dụng nạn nhân thông qua các thao tác làm mờ được sắp xếp cẩn thận và đo lường thời gian.

Hệ thống của Pixnapping hoạt động qua ba bước chính:

• Đầu tiên, ứng dụng của kẻ tấn công gửi các Android intent để mở các hoạt động đã xuất (exported activities) từ các ứng dụng nạn nhân, đưa các pixel của chúng vào quy trình kết xuất (rendering pipeline).
• Thứ hai, kẻ tấn công tạo một chồng các hoạt động bán trong suốt. Các hoạt động này sử dụng kỹ thuật che chắn (masking), phóng to (enlargement) và mã hóa (encoding) để tính toán trên các pixel riêng lẻ của nạn nhân.
• Cuối cùng, cuộc tấn công đo lường sự khác biệt về thời gian kết xuất gây ra bởi các tối ưu hóa GPU phụ thuộc vào mẫu (pattern-dependent GPU optimizations), chẳng hạn như nén dữ liệu đồ họa (graphical data compression), để làm rò rỉ thông tin màu sắc pixel.

Các Bước Thực hiện Tấn công

Các nhà nghiên cứu đã trình diễn thành công kỹ thuật Pixnapping trên các thiết bị Google Pixel 6, 7, 8 và 9, cũng như điện thoại Samsung Galaxy S25.

Tỷ lệ rò rỉ đạt được dao động từ 0.15 đến 2.11 pixel mỗi giây tùy thuộc vào thiết bị.

Xem chi tiết kỹ thuật trong báo cáo nghiên cứu: Pixnapping: A Side-Channel Attack on Android’s Graphics Rendering System.

Tác động và Phạm vi Ảnh hưởng

Đánh cắp Mã 2FA từ Google Authenticator

Trường hợp đáng báo động nhất của Pixnapping liên quan đến việc đánh cắp mã 2FA tạm thời từ Google Authenticator trước khi chúng hết hạn.

Khi người dùng nhấn nút quay lại từ hoạt động xem email, hoạt động đó sẽ bị đẩy ra khỏi ngăn xếp quay lại (back stack) và hoạt động Hộp thư đến sẽ được tiếp tục.

Sử dụng một kỹ thuật kiểu OCR được tối ưu hóa, xác định các chữ số bằng cách làm rò rỉ chỉ bốn pixel được chọn cẩn thận cho mỗi chữ số, thay vì khôi phục toàn bộ hình ảnh ký tự, các nhà nghiên cứu đã đạt được tỷ lệ thành công 53-73% trong việc khôi phục hoàn chỉnh các mã sáu chữ số trong cửa sổ làm mới 30 giây quan trọng.

Trên các thiết bị Google Pixel, thời gian trích xuất trung bình dao động từ 14.3 đến 25.8 giây, với Pixel 6 thực hiện nhanh nhất ở mức trung bình 14.3 giây.

Cuộc tấn công không yêu cầu quyền Android đặc biệt nào và hoạt động một cách lén lút bằng cách ẩn hoạt động độc hại bên dưới một lớp hơi trong suốt hiển thị nội dung lành tính.

Khi người dùng cài đặt và khởi chạy ứng dụng của kẻ tấn công, không cần tương tác thêm của người dùng. Kỹ thuật này tự động điều chỉnh cho các phông chữ và khoảng cách có độ rộng thay đổi trong giao diện của Google Authenticator, chờ đợi sự bắt đầu của một khoảng thời gian 30 giây mới trước khi bắt đầu quá trình trích xuất để tối đa hóa cửa sổ thời gian có sẵn.

Các Dữ liệu Nhạy cảm Khác Bị Ảnh hưởng

Mặc dù cuộc tấn công Google Authenticator là minh chứng nhạy cảm nhất về thời gian, Pixnapping đe dọa một phạm vi dữ liệu nhạy cảm rộng lớn hơn nhiều.

Các nhà nghiên cứu đã thành công trong việc trích xuất thông tin từ Google Maps Timeline, bao gồm lịch sử vị trí đầy đủ với dấu thời gian và địa chỉ, tin nhắn Signal riêng tư ngay cả khi bật Screen Security, các cuộc hội thoại SMS từ Google Messages, số dư tài khoản và chi tiết giao dịch Venmo, nội dung hộp thư đến Gmail bao gồm thông tin người gửi và xem trước tin nhắn, cùng thông tin cá nhân tài khoản Google như tên, địa chỉ và địa chỉ email, cho thấy nguy cơ rò rỉ dữ liệu nhạy cảm diện rộng.

Các nhà nghiên cứu nhắm mục tiêu vào các tối ưu hóa phụ thuộc vào mẫu, chẳng hạn như GPU.zip, để truyền giá trị của pixel nạn nhân.

Vượt qua Bảo vệ Trình duyệt Truyền thống

Tấn công Pixnapping về cơ bản bỏ qua các biện pháp bảo vệ dựa trên trình duyệt vốn đã giảm thiểu đáng kể các kỹ thuật đánh cắp pixel truyền thống.

Một khảo sát một triệu trang web hàng đầu cho thấy chỉ có 0.2% vẫn dễ bị tấn công kiểu iframe thông thường do tiêu đề X-Frame-Options và chính sách cookie SameSite.

Ngược lại, 100% các trang web dễ bị tổn thương khi được mở thông qua ứng dụng trình duyệt Chrome và 99.3% vẫn gặp rủi ro khi được truy cập qua Chrome Custom Tabs.

Đối với mỗi trang web, các nhà nghiên cứu gửi yêu cầu GET với chuỗi user-agent Chrome on macOS hiện tại và đánh dấu trang web là có thể truy cập nếu trả về mã trạng thái HTTP 200.

Ngoài ra, các nhà nghiên cứu đã xác định 238,036 hoạt động trên 96,783 ứng dụng Android có thể bị nhắm mục tiêu thông qua implicit intent, với trung bình hai hoạt động đã xuất trên mỗi ứng dụng.

Lộ trình Công bố và Biện pháp Giảm thiểu Đề xuất

Quá trình Công bố Lỗ hổng

Các nhà nghiên cứu đã công bố phát hiện của mình cho Google vào ngày 24 tháng 2 năm 2025, nhận được đánh giá mức độ nghiêm trọng Cao và gán CVE.

Google đã phát hành bản vá ban đầu vào ngày 2 tháng 9 năm 2025, nhưng các nhà nghiên cứu sau đó đã phát hiện ra một biện pháp khắc phục (workaround) và nhận thấy rằng bản vá này không bảo vệ các thiết bị Samsung.

Các thông báo tiếp theo cho cả Google và Samsung đã diễn ra vào tháng 9, với sự phối hợp về các biện pháp giảm thiểu toàn diện vẫn đang tiếp tục tính đến ngày 13 tháng 10 năm 2025.

Giải pháp Giảm thiểu Đề xuất

Nhóm nghiên cứu khuyến nghị nhắm mục tiêu vào điều kiện thứ hai của framework tấn công bằng cách ngăn chặn các tính toán của kẻ tấn công trên các pixel của nạn nhân. Cách tiếp cận này tương tự như cách chỉ thị Content Security Policy (CSP) frame-ancestors đã vô hiệu hóa các cuộc tấn công dựa trên trình duyệt.

Một đề xuất giảm thiểu sẽ cho phép các nhà phát triển hạn chế lớp phủ trong suốt trên các hoạt động của họ vào một danh sách cho phép rõ ràng (explicit allowlist), buộc các ứng dụng phải chọn tham gia thay vì bị lỗ hổng theo mặc định trước các cuộc tấn công Pixnapping.

Cách tiếp cận này sẽ bảo toàn thiết kế đa tác nhân hợp tác (collaborative multi-actor design) của lớp ứng dụng Android, đồng thời bảo vệ các ứng dụng nhạy cảm khỏi việc trích xuất pixel.