Alcuni ricercatori accademici hanno descritto una nuova classe di attacchi, battezzata Pixnapping, in grado di sottrarre codici di autenticazione a due fattori (2FA), cronologie di posizione e altri contenuti sensibili mostrati sullo schermo di dispositivi Android, e tutto questo senza richiedere permessi speciali all’app maligna.
Cosa fa esattamente Pixnapping
Pixnapping sfrutta un canale laterale legato al rendering grafico: un’app malevola, che non richiede permessi di sistema, provoca l’apertura dell’app bersaglio (ad esempio l’Authenticator o un client di messaggistica), poi esegue operazioni grafiche mirate su singoli pixel e misura il tempo di rendering dei frame.
Da queste misure di temporizzazione l’attaccante è in grado di ricostruire, pixel dopo pixel, ciò che è stato renderizzato sullo schermo (testo, cifre, mappe, ecc.). In pratica il meccanismo è simile al prendere uno “screenshot” non autorizzato, ma realizzato tramite un attacco di timing hardware/software.
Tre fasi dell’attacco (in breve)
- Invocazione del bersaglio — l’app malevola chiama API Android per far sì che l’app vittima visualizzi l’informazione (es. thread di chat o il codice 2FA).
- Operazioni grafiche mirate — l’app maligna disegna o apre finestre trasparenti su regioni specifiche dello schermo e avvia operazioni che fanno emergere differenze di tempo di rendering a seconda del colore del pixel.
- Misurazione e ricostruzione — misurando i tempi, l’attaccante deduce se un pixel è bianco o non-bianco (o se corrisponde a un certo colore) e ricostruisce l’immagine o la combinazione di caratteri desiderata.
Dispositivi testati e limiti reali
I ricercatori hanno dimostrato attacchi end-to-end su telefoni Google Pixel (serie 6–9) e su Samsung Galaxy S25; i risultati variano per modello.
Il tasso di successo per il recupero completo di codici 2FA sulla serie Pixel è stato significativo in diversi test, mentre su S25 la presenza di rumore ha reso più difficile l’esfiltrazione entro i 30 secondi necessari per sfruttare un codice temporaneo.
Questo suggerisce che, pur essendo un attacco concreto, l’efficacia pratica dipende molto dall’hardware e dai driver grafici utilizzati.
La contromisura di Google e lo stato delle patch
Google ha assegnato alla vulnerabilità il riferimento CVE-2025-48561 e ha inserito mitigazioni nel bollettino di sicurezza di settembre 2025.
I ricercatori, tuttavia, hanno dimostrato che versioni modificate dell’attacco possono ancora funzionare, motivo per cui Google ha annunciato ulteriori correzioni previste per dicembre 2025.
Al momento non ci sono prove di sfruttamento reale, ma è fortemente consigliato mantenere sempre aggiornato il dispositivo Android.
Che rischio concreto corriamo e come ridurlo
Pur essendo una dimostrazione potente sul piano scientifico, l’attacco presenta difficoltà operative: richiede l’installazione di un’app malevola e un tuning specifico per ogni hardware.
Ecco alcune misure di sicurezza consigliate:
- Aggiornare subito il sistema operativo quando vengono rilasciati aggiornamenti di sicurezza.
- Evitare il sideloading di app sconosciute e installare solo da store ufficiali.
- Considerare l’uso di token hardware (U2F/FIDO) o app di autenticazione più sicure.
- Tenere attive funzioni come Google Play Protect e controllare regolarmente le autorizzazioni delle app.
Per gli sviluppatori e i vendor
Il lavoro dei ricercatori mette in evidenza che le mitigazioni software potrebbero non essere sufficienti senza interventi più profondi, a livello di stack grafico o di driver GPU.
I produttori di chip, i team che mantengono i driver grafici e Google dovranno collaborare per chiudere i canali laterali di temporizzazione e ridefinire alcune API che consentono a un’app di interferire con il rendering di un’altra.
Conclusione
Pixnapping è un promemoria potente: la superficie d’attacco non è più limitata ai permessi espliciti, ma può includere canali laterali complessi che attraversano l’hardware e il sistema grafico. Per gli utenti, la prima linea di difesa rimane semplice: aggiornare, non installare app sospette e preferire metodi di autenticazione più robusti. Per il settore tecnologico, invece, è una chiamata a migliorare la robustezza dello stack grafico e la modellazione dei canali laterali.
Vuoi restare sempre aggiornato sul mondo della tecnologia? Seguici anche fuori dal blog: ricevi le notizie in tempo reale sul nostro Gruppo Telegram o sul canale WhatsApp, oppure entra nella nostra community su Reddit per discutere, fare domande e condividere esperienze con altri appassionati. #ètempoditecnologia
Fonti:
- Ars Technica – “Hackers can steal 2FA codes and private messages from Android phones” (Dan Goodin, 13 ottobre 2025)
- Paper accademico “Pixnapping: Bringing Pixel Stealing out of the Stone Age”
- Android Security Bulletin – Settembre 2025
