UC Berkeley और अन्य टीमों ने Pixnapping नामक एक हार्डवेयर-साइड चैनल हमला दिखाया है जो स्क्रीन-रेंडरिंग-टाइमिंग से 2FA कोड, प्राइवेट मैसेज और लोकेशन रिकवर कर सकता है।
सभी नए Android डिवाइसेज के लिए खतरा है यह वल्नरेबिलिटी
Photo Credit: Unsplash/ Daniel Romero
एक रिसर्च टीम ने बताया है कि Android डिवाइसों में एक नया और खतरनाक तरीका खोजा गया है जिससे किसी भी ऐप या वेबसाइट पर दिखाई देने वाली संवेदनशील जानकारी चुपके से एक्सफिल्ट्रेट की जा सकती है, इसमें 2FA कोड, प्राइवेट मैसेज, लोकेशन टाइमलाइन्स के साथ और भी बहुत कुछ शामिल है। इस फ्लो-बेस्ड एटैक को रिसर्चर्स ने Pixnapping नाम दिया है और इसे CVE-2025-48561 के रूप में ट्रैक किया जा रहा है।
इस रिसर्च टीम में UC Berkeley, UC San Diego, Carnegie Mellon और University of Washington के रिसर्चर्स शामिल थे जो इस कमजोरी का डेमो हाई-एंड स्मार्टफोन्स जैसे Google Pixel 10 और Samsung Galaxy S25 Ultra पर दिखा चुके हैं। रिसर्चर्स ने बताया कि Pixnapping हार्डवेयर साइड-चैनल और Android के रेंडरिंग APIs का कॉम्बिनेशन इस्तेमाल करता है, जिससे किसी मलिशियस ऐप को स्क्रीन पर रेंडर होने वाले पिक्सल-लेवल संकेत पढ़ने का मौका मिल जाता है और इस तरीके से Gmail, Google Authenticator, Google Maps, Signal और Venmo जैसी सर्विसेज से संवेदनशील डेटा निकाला जा सकता है।
ArsTechnica ने इस काम को कवर किया है। Google ने बताया कि सितंबर के Android सिक्योरिटी बुलिटिन में इसका आंशिक पैच जारी किया गया था और दिसंबर में एक और पैच जारी किए जाने की प्लानिंग है। हालांकि, रिसर्चर्स ने एक वर्कअराउंट दिखाया है, जिससे अटैक कुछ पैचों के इंस्टॉल किए जाने के बाद भी काम कर सकता है।
Pixnapping तीन स्टेप्स में किया जाता है, पहले मलिशियस ऐप Android APIs कॉल कर के टार्गेट ऐप को सक्रिय करवा सकता है या डिवाइस पर इंस्टॉल ऐप्स स्कैन कर सकता है, फिर वह रेंडरिंग पाइपलाइन में भेजे हुए पिक्सल्स पर ग्राफिकल ऑपरेशन्स चला कर टार्गेटेड पिक्सल को टेस्ट करता है और आखिर में हर कॉओर्डिनेट पर लगने वाले टाइम की माप कर के इमेज को पिक्सल-बाय-पिक्सल रीबिल्ड कर लेता है जिससे यूजर को दिखाई जाने वाली कोई भी चीज चोरी हो सकती है।
रिपोर्ट के मुताबिक Google ने फिलहाल शुरुआती सॉल्यूशन दिए हैं और डेवलपर्स तथा यूजर्स को सलाह है कि वे अनट्रस्टेड ऐप्स पर कड़ी नजर रखें और जब भी ओएस अपडेट उपलब्ध हो तुरंत इंस्टॉल करें। इसके अलावा, यूजर्स को कहा गया है कि वे Play Protect और ऐप-परमिशन्स का रिव्यू करते रहें और जहां संभव हो संवेदनशील कामों के लिए मल्टी-फैक्टर ऑप्शन और हार्डवेयर-बेस्ड सिक्योरिटी अपनाएं।
लेटेस्ट टेक न्यूज़, स्मार्टफोन रिव्यू और लोकप्रिय मोबाइल पर मिलने वाले एक्सक्लूसिव ऑफर के लिए गैजेट्स 360 एंड्रॉयड ऐप डाउनलोड करें और हमें गूगल समाचार पर फॉलो करें।