Wieloetapowe uwierzytelnianie użytkownika to fundament bezpieczeństwa. Pisaliśmy o tym na Spider’s Web setki razy, podobnie robiły inne branżowe serwisy. Niestety okazało się, iż to niewystarczające zabezpieczenie. Przynajmniej o ile używa się telefonu bazującego na systemie Android.
Dwuskładnikowe uwierzytelnianie (2FA) od lat stanowiło mój święty gral w walce o bezpieczeństwo cyfrowe. Przypominałem wam, iż hasło to za mało. Maile, konta bankowe i serwisy społecznościowe – nikt nie lubi niewygody bezpieczeństwa, ale warto na nie stawiać. Tymczasem najnowsze doniesienia o Pixnappingu pokazują, iż Android potrafi nieźle nadszarpnąć choćby solidny fundament.
Atak Pixnapping nie wymaga żadnych uprawnień w systemie ani rootowania urządzenia. Wystarczy, iż złośliwa aplikacja korzysta z Android API oraz… wycieku informacji przez GPU. Efekt? Pełne sekwencje jednorazowych kodów 2FA wykradzione w czasie krótszym niż 30 sekund a użytkownik nie ma jak tego wykryć.
To też jest ważne:
Na czym polega Pixnapping?
Pixnapping składa się z trzech prostych, acz przebiegłych kroków. Najpierw aplikacja ofiary zostaje uruchomiona w tle, by wyświetlić wrażliwe dane – na przykład kod z Google Authenticator. Następnie złośliwy program nakłada półprzezroczyste okienka i aktywuje operacje graficzne na konkretnych pikselach, a na końcu wyciąga te piksele przez GPU-side channel i składa je w obraz.
Brzmi skomplikowanie? W praktyce atakujący wykorzystuje mechanizm VSync do mierzenia czasu renderowania oraz Androidowe API do rozmycia okien, by wymusić rysowanie pożądanych fragmentów ekranu. Dzięki temu każda cyfra kodu 2FA zostaje przechwycona, a całość poskładana w ciąg znaków gotowych do użycia.
Kogo dotyczy zagrożenie?
Choć autorzy badania testowali Pixnapping głównie na telefonach Google Pixel 6-9 oraz Samsung Galaxy S25 to ich analiza sugeruje, iż problem leży w samym rdzeniu Androida. W praktyce prawie każde urządzenie z wersjami od Androida 13 do 16 jest podatne. Nie trzeba mieć roota, nie trzeba specjalnych uprawnień – wystarczy zainstalować zwykłą aplikację ze sklepu.
To bardzo zła wiadomość. jeżeli choćby kody jednorazowe mogą zostać zhakowane, to pytanie nie brzmi już czy?, ale kiedy?. Najbardziej krytycznym celem ataku mogą stać się aplikacje bankowe, menedżery haseł i komunikatory szyfrujące rozmowy end-to-end.
Google zdaje sobie sprawę z problemu i już wprowadził ograniczenia w liczbie zamazywanych okien przez aplikacje – teoretycznie miało to zaburzyć działanie Pixnappingu. Niestety, badacze znaleźli sposób na obejście tej łatki, więc patche Google’a nie usuwają zagrożenia. Producenci GPU dotąd nie zaproponowali żadnych poprawek dla GPU-side channel, uznając problem za… mało istotny? Tymczasem CVE-2025-48561 oficjalnie klasyfikuje Pixnapping jako krytyczną lukę w bezpieczeństwie Androida. Choć oficjalne poprawki są w drodze to nie ma gwarancji, kiedy i czy w ogóle trafią na wszystkie urządzenia.
Jak się chronić… póki co?
Na szczęście nie wszystko stracone. Po pierwsze, warto ściągać aplikacje wyłącznie z zaufanych źródeł – choć Pixnapping nie wymaga podejrzanych uprawnień, to ryzyko złośliwych apk jest zawsze większe poza oficjalnymi sklepami. Po drugie, można rozważyć użycie fizycznych kluczy 2FA (np. FIDO U2F), które nie opierają się na renderowaniu elementów na ekranie.
Dodatkowo systemy bankowe i menedżery haseł mogą wprowadzić mechanizmy opóźniające lub losujące układ cyfr, co znacznie utrudnia precyzyjne zlokalizowanie pikseli. Warto także śledzić oficjalne biuletyny bezpieczeństwa – może kiedyś doczekamy się porządnego patcha.
Czy 2FA umarło?
Nie – ale wymaga rewizji. Pixnapping pokazuje, iż tradycyjne jednorazowe kody SMS czy generowane w aplikacjach mobilnych mogą być zagrożone. Zamiast rezygnować z 2FA, powinniśmy inwestować w nowsze standardy: klucze sprzętowe, uwierzytelnianie biometryczne opierające się na bezpiecznych elementach a także w protokoły FIDO 2.0.
Ostateczna lekcja? 2FA to wciąż lepsze zabezpieczenie niż samo hasło, ale nie jest tarczą nie do przebicia. Technologie ewoluują, a wraz z nimi taktyki ataków. Chcąc pozostać o krok przed hakerami, trzeba łączyć różne strategie ochrony. Przynajmniej w przypadku kont o wysokiej wartości, jak konta bankowe czy te reprezentujące naszą tożsamość w social mediach.
