هشدار امنیتی: حمله «پیکسنَپینگ» در ۳۰ ثانیه کدهای Google Authenticator را سرقت میکند
محققان امنیت سایبری از نوع جدیدی از حملات سایبری با نام پیکسنَپینگ (Pixnapping) پرده برداشتهاند؛ حملهای از نوع مسیر جانبی (Side-Channel Attack) که میتواند در کمتر از ۳۰ ثانیه، اطلاعات حساس صفحهنمایش مانند کدهای احراز هویت دو مرحلهای (2FA) را از اپلیکیشن Google Authenticator سرقت کند.
این حمله از APIهای اصلی اندروید و یک آسیبپذیری سختافزاری در پردازنده گرافیکی (GPU) سوءاستفاده میکند و تقریباً تمام گوشیهای هوشمند اندرویدی مدرن را تحت تأثیر قرار میدهد — بدون نیاز به هیچگونه مجوز خاصی.
دامنه گسترده آسیبپذیری
بر اساس گزارش منتشرشده، حمله پیکسنَپینگ در آزمایشهای انجامشده روی مدلهای Google Pixel 6 تا 9 و همچنین Samsung Galaxy S25 (با نسخههای اندروید ۱۳ تا ۱۶) موفق شده است مکانیزمهای امنیتی مرورگرها را دور بزند و به هر دو نوع محتوای وب و اپلیکیشنهای بومی نفوذ کند.
ماهیت پنهان این حمله تهدیدی جدی برای کاربرانی است که از برنامههایی مانند Signal، Venmo و Gmail استفاده میکنند، زیرا مهاجم قادر است اطلاعات صفحهنمایش را پیکسل به پیکسل بازسازی کند بدون آنکه قربانی متوجه شود.
شیوه عملکرد حمله پیکسنَپینگ
این حمله از سیستم Intents اندروید بهره میبرد؛ سیستمی که برای اجرای سریع اپلیکیشنهای دیگر طراحی شده است. یک اپلیکیشن مخرب میتواند با ارسال یک Intent، برنامه هدف (مثل Google Authenticator) را باز کرده و سپس با استفاده از پنجرههای نیمهشفاف و تقریباً نامرئی، پیکسلهای حساس را استخراج کند.
پیکسنَپینگ از تفاوت زمان رندر تصاویر در پردازنده گرافیکی برای حدسزدن رنگ و محتوای پیکسلها استفاده میکند. این فرآیند به واسطه فشردهسازی دادهها در GPU، که به «GPU.zip» معروف است، انجام میشود.
در دستگاههای پیکسل، این حمله تأخیرهای رندر را در GPUهای Mali اندازهگیری میکند. در این حالت، پیکسلهای یکنواخت (مثلاً سفید) سریعتر از پیکسلهای متنوع فشرده میشوند و همین اختلاف، اطلاعات رنگ را فاش میکند.
در مدلهای سامسونگ، نسخهای از این حمله با محوشدگیهای چندلایه و شعاعهای مختلف طراحی شده تا نتایج مشابهی ایجاد کند، حتی با وجود تفاوت سختافزاری.
تمرکز روی دادههای حساس
محققان این حمله را بهطور خاص برای اطلاعات زودگذر مانند کدهای ۲FA بهینه کردهاند. آنها با شناسایی تنها چهار پیکسل کلیدی در فونت Google Sans، توانستهاند کدهای ششرقمی را پیش از انقضای آنها بازسازی کنند.
دامنه این تهدید تنها به Authenticator محدود نمیشود؛ پیامهای خصوصی در Signal، موقعیت مکانی در Google Maps و جزئیات تراکنشها در Venmo نیز میتوانند هدف قرار گیرند.
واکنش شرکتها و سطح خطر
گوگل این آسیبپذیری را با شناسه CVE-2025-48561 ثبت کرده و در بهروزرسانی امنیتی سپتامبر ۲۰۲۵ برای گوشیهای پیکسل وصله امنیتی منتشر کرده است.
با این حال، کارشناسان هشدار دادهاند که راههای احتمالی دور زدن این وصله همچنان وجود دارد.
سامسونگ نیز با وجود تأیید خطر، میزان احتمال سوءاستفاده را «پایین» ارزیابی کرده است.
راهکارهای پیشنهادی برای محافظت کاربران
اپلیکیشنها را فقط از منابع معتبر مانند Google Play دانلود کنید.
دسترسی به نمایش روی سایر اپلیکیشنها را فقط برای برنامههای قابل اعتماد فعال کنید.
دستگاه خود را بهروز نگه دارید تا جدیدترین وصلههای امنیتی اعمال شود.
در صورت مشاهده رفتار مشکوک، بهویژه هنگام باز شدن ناگهانی پنجرههای جدید، اپ را فوراً ببندید.
