Kaliforniya Üniversitesi Berkeley, Washington Üniversitesi, Kaliforniya Üniversitesi San Diego ve Carnegie Mellon Üniversitesi araştırmacılarının keşfettiği Pixnapping adlı yeni bir yan kanal saldırısı, kötü amaçlı Android uygulamalarının kullanıcı izni olmadan iki faktörlü kimlik doğrulama (2FA) kodlarını ve diğer hassas verileri piksel piksel çalmasına olanak tanıyor.
Pixnapping Saldırısının Teknik Detayları
Pixnapping, Android API’leri ve donanım yan kanallarını kullanarak Google Authenticator gibi tarayıcı dışı uygulamalardan bile 2FA kodlarını 30 saniyeden kısa sürede yakalayabiliyor. Saldırının temelinde, kötü amaçlı uygulamanın Android intent’leri aracılığıyla hedef uygulamanın piksellerini render hattına zorlaması ve yarı saydam aktiviteler üst üste bindirerek bu pikseller üzerinde hesaplama yapması yer alıyor. Bu yöntem, GPU sıkıştırma özelliklerinden faydalanan GPU.zip yan kanalının Eylül 2023’te açıklanmasıyla mümkün hale geldi.
Android’in Savunmasızlıkları ve Google’ın Yanıtı
Pixnapping, Android 13’ten 16’ya kadar Google ve Samsung cihazlarında doğrulandı ancak metodoloji tüm Android cihazlarda uygulanabilir. Saldırının gerçekleştirilmesi için özel izin gerekmez ancak kurbanın uygulamayı yükleyip başlatması gerekir. Google, CVE-2025-48561 kimliğiyle takip edilen bu açığı Eylül 2025 güvenlik bülteninde 5.5 CVSS puanıyla yamaladı. Ancak saldırıyı yeniden etkinleştirebilen çözümler ortaya çıktı ve Google sorunu çözmek için çalışmalarını sürdürüyor.
Uygulama Katmanlaması ve Geleceğe Yönelik Değerlendirmeler
Araştırmacılar, Android’in uygulama katmanlamasının işbirlikçi ve çok aktörlü yapısının bu tür saldırıları önlemede zorluk yarattığını belirtiyor. Ayrıca, saldırganların cihazda rastgele uygulamaların yüklü olup olmadığını tespit edebilmesi ve Android 11’den itibaren uygulama listesi sorgulama kısıtlamalarını aşabilmesi önemli bir güvenlik açığı olarak öne çıkıyor. Çözüm olarak, hassas uygulamaların çıkış yapması ve saldırganların ölçüm yeteneklerinin kısıtlanması öneriliyor.