Home Hacking e Cybersecurity
News

Pixnapping, fate attenzione: in pochi attimi ruba le vostre info importanti

Un'app apparentemente innocua può misurare i tempi di rendering e ricostruire pixel. Con il Pixnapping a rischio codici 2FA, chat e schermate

scritto da Rossella Vitale 0 commenti 1 Minuti lettura
Pixnapping, fate attenzione: in pochi attimi ruba le vostre info importanti

Il Pixnapping è una tecnica particolare che ricostruisce immagini mostrate sullo schermo. I ricercatori, che hanno studiato il fenomeno, spiegano che l’attacco si svolge in tre fasi: indurre l’app bersaglio a mostrare il contenuto, eseguire operazioni grafiche su coordinate precise e misurare i tempi di rendering. È sottolineato anche che il tempo impiegato per rendere un singolo pixel rivela informazioni sul suo colore. Viene paragonato a uno screenshot furtivo che il sistema non rileva. È specificato che solo elementi visibili sul display possono essere sottratti. Le chiavi segrete memorizzate, ma mai mostrate, restano al sicuro.

Quanto è efficace il Pixnapping

Lo studio sul Pixnapping ha testato l’attacco su diversi modelli. Sui Google Pixel i tassi di successo sono variati. È riportato che il recupero completo del codice 2FA a sei cifre è riuscito nel 73%, 53%, 29% e 53% per Pixel 6, 7, 8 e 9 rispettivamente. Su Samsung Galaxy S25 il processo è risultato più difficile. È evidenziato che, riducendo i campioni per pixel a 16 e l’intervallo di inattività a 70 millisecondi, l’attacco può rientrare nel limite di trenta secondi. È aggiunto che l’implementazione sincronizza l’inizio con l’intervallo temporale dei codici per massimizzare la finestra d’azione. Sono presenti varianti dell’attacco in grado di aggirare difese correnti, secondo i ricercatori. È anche osservato che non sempre la ricostruzione è perfetta, ma in molti casi il codice sensibile viene recuperato.

Non risultano, per ora, attacchi reali sfruttando il Pixnapping, ma Google, ad esempio, ne ha riconosciuto la vulnerabilità. Un primo aggiornamento si è avuto con il bollettino di sicurezza di settembre, con promessa di patch successiva a dicembre. I ricercatori avvertono che alcune varianti potrebbero ancora eludere le patch. Ci si chiede ora come fare ovviamente per difendersi. Innanzitutto bisogna fare attenzione alle autorizzazioni delle app e aggiornamenti di sistema immediati. Quali pratiche riducono il rischio? Limitare l’uso di codici mostrati su schermo, preferire canali secondari per 2FA e installare aggiornamenti. Che valore ha ormai  la privacy, se lo schermo può essere letto senza lasciare tracce?

Rossella Vitale

Se dovessi scrivere quali sono i miei interessi o descrivermi ci metterei forse una giornata intera, quindi sarò breve. Mi piace esprimermi attraverso la scrittura, mezzo di comunicazione che molti non considerano più così importante, amo i miei animali (gatti, cane e coniglio) e mentre lavoro ascolto brani suonati al piano per concentrarmi e rilassarmi. La mia Laurea ha un titolo troppo lungo da scrivere, ma essenzialmente mi sono specializzata proprio *rullo di tamburi* in comunicazione e marketing digitale.

Lascia un commento

Salva il mio nome, email e sito web in questo browser per la prossima volta che commento.