CheckBlackList

Pixnapping, quando la Tua 2FA è a Rischio. Ecco come la vulnerabilità Android ti può spiare senza permessi

Pixnapping, quando la Tua 2FA è a Rischio. Ecco come la vulnerabilità Android ti può spiare senza permessi

Per Chi Ha Fretta

È stato scoperto un metodo di attacco innovativo e invisibile, chiamato Pixnapping, che rappresenta un serio pericolo per la sicurezza dei dispositivi Android. Sfruttando la misurazione dei tempi di rendering dei pixel (un difetto noto come side-channel information disclosure, identificato come CVE-2025-48561), un’applicazione malevola, anche se priva di permessi particolari, è in grado di ricostruire dati sensibili visualizzati sullo schermo, inclusi i codici di Autenticazione a Due Fattori (2FA) generati da app come Google Authenticator e Signal. L’attacco è rapidissimo (meno di 30 secondi) e la sua efficacia varia a seconda del modello di telefono (i dispositivi Pixel sono risultati particolarmente esposti). Google ha rilasciato patch di sicurezza a partire dal bollettino di Ottobre per mitigare il rischio, ma l’aggiornamento immediato del sistema operativo è fondamentale.

Pixnapping: L’Attacco Invisibile che Neutralizza la Tua Sicurezza

L’autenticazione a due fattori (2FA) è considerata da anni la pietra angolare della sicurezza online. Tuttavia, una nuova, subdola tecnica d’attacco denominata Pixnapping ha dimostrato come anche questa barriera possa essere scavalcata, sfruttando una debolezza nascosta nei meccanismi di visualizzazione di Android.

Questo attacco non si basa su classiche truffe email o su complessi inganni psicologici, ma su un concetto di ingegneria digitale molto avanzato: l’analisi dei tempi di risposta della Graphics Processing Unit (GPU).

La Meccanica del “Furto di Pixel”

Il cuore della minaccia risiede in un’app apparentemente innocua. Una volta installata, questa app lancia l’app bersaglio (ad esempio, un autenticatore 2FA o un portafoglio crittografico) e si mette in ascolto.

Invece di tentare di leggere la memoria o intercettare la rete, l’app malevola misura con precisione i tempi di rendering di aree specifiche dello schermo. Poiché la visualizzazione di un pixel contenente un carattere nero richiede un tempo leggermente diverso dalla visualizzazione di un pixel bianco, la misurazione di questa infinitesimale differenza permette all’aggressore di ricostruire, pixel per pixel, la sequenza di caratteri visualizzata. L’intero processo, in alcuni dispositivi, si completa in meno di 15 secondi, senza che l’utente si accorga di nulla.

Il Dettaglio Dispositivo-Specifico

La ricerca ha messo in luce una significativa variabilità di successo tra i diversi modelli di smartphone:

  • Pixel 6 ha mostrato un’alta vulnerabilità, con un successo del 73%.
  • I modelli successivi come Pixel 7 e Pixel 8 hanno ridotto il rischio (rispettivamente 53% e 29%), dimostrando una parziale mitigazione da parte dei produttori.
  • Il Samsung Galaxy S25 è risultato inattaccabile in questa fase di test, probabilmente grazie a specifiche ottimizzazioni hardware o software che rendono le misurazioni inaffidabili.

Questa dipendenza dal modello indica che la vulnerabilità è intrinsecamente legata all’architettura specifica dell’hardware grafico di ogni telefono.

Difesa e Risposta Istituzionale

La minaccia del Pixnapping, catalogata come CVE-2025-48561, ha sollevato un’ondata di preoccupazione che ha portato a risposte immediate da parte dei giganti della tecnologia.

Aggiornamenti: La Soluzione è il Più Veloce

Google ha reagito prontamente, includendo le prime mitigazioni nel bollettino di sicurezza di Ottobre, con ulteriori patch già programmate.

  • Rischio dei Mancati Aggiornamenti: L’unica vera barriera contro attacchi di questo tipo sono le patch del sistema operativo. Un dispositivo con un sistema Android obsoleto rimane esposto a vulnerabilità come Pixnapping, che possono essere sfruttate da app innocue (e spesso non richiedenti permessi particolari) scaricate anche accidentalmente.
  • Soluzioni in Caso di Problema: Se il tuo dispositivo non è ancora aggiornato o temi che l’attacco sia stato eseguito:
    1. Aggiorna Immediatamente: Applica tutti gli aggiornamenti di sistema e di sicurezza disponibili.
    2. Disinstalla App Sospette: Rimuovi immediatamente qualsiasi app installata recentemente da fonti non ufficiali, anche se sembra benigna.
    3. Cambio Credenziali: Cambia immediatamente tutte le password associate agli account per cui hai visualizzato codici 2FA sul telefono (banche, social, email, criptovalute).

Consigli Pratici Anti-Pixnapping

Per ridurre al minimo il rischio:

  1. Solo Store Ufficiali: Scarica le applicazioni esclusivamente dal Google Play Store ufficiale e verifica recensioni e sviluppatore prima dell’installazione.
  2. Autenticatori Fisici (FIDO): Laddove possibile, privilegia l’uso di chiavi di sicurezza hardware (FIDO). Queste generano un segnale fisico che il malware non può intercettare misurando i pixel.
  3. Non Visualizzare Dati Sensibili: Evita di visualizzare codici di recupero, seed phrase di wallet crittografici o altre informazioni altamente sensibili su dispositivi connessi a Internet e che eseguono app di terze parti.
  4. Segnalazione: Se sei vittima di un furto di dati o sospetti un attacco informatico, contatta la Polizia Postale e delle Comunicazioni o il CSIRT Italia (se sei un’azienda o un ente).

#checkblacklist #Pixnapping #2FA #AndroidSecurity

Claudio R Cerroni

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *