無料見積サイバー保険の⼀括⾒積⽐較はこちらから
画像:It newsより引用
カリフォルニア大学やワシントン大学など米国の複数の大学による研究チームがこのほど、ユーザーの許可を得ることなく、Android端末で通常閲覧できないはずの二段階認証窃取する新たな攻撃手法「Pixnapping(ピクスナッピング)」攻撃を発表しました。
Pixnapping攻撃は、Androidの画面描画の仕組みに介入することで、他のアプリに写っている細かな点の明るさを一つずつ計測し、それらを組み合わせて元の文字や情報を再現する、という手口です。外見上は何も起きず、警告も表示されないため、ユーザー自身が攻撃を察知することは極めて難しい、とのこと。研究チームは「許可のいらないスクリーンショットのようなもの」だと説明。Pixnapping攻撃を実際に用いてGoogle Authenticatorの二段階認証コードを30秒以内に取得できることを確認したほか、Signalのメッセージ、Venmoの金融情報、Gmailのメール内容も読み取ることに成功しています。
この攻撃は、グラフィック処理を行うGPUの弱点を応用したもので、Googleは対策に取り組んできました。しかし2025年9月に提供した修正がすぐに回避され、現在も完全な解決には至っていない、とのこと。追加の修正は2025年12月のセキュリティ更新で提供される予定ですが、少なくとも公表時点では脆弱性が残る状態となっています。研究者らは(悪意あるアプリをインストールした場合)一般の利用者が個別に防ぐ方法はなく、Androidの更新が提供された際には速やかに適用するよう呼びかけています。
参照“Pixnapping” vulnerability lets Android apps steal 2FA codes in 30 seconds|いIt news
