Pixnapping saldırısı

 (pixnapping.com)
1 puan yazan GN⁺ 2025-10-17 | 1 yorum | WhatsApp'ta paylaş
  • Pixnapping, kötü amaçlı bir Android uygulamasının başka uygulamalarda veya web sitelerinde gösterilen kişisel bilgileri gizlice çalmasını sağlayan yeni bir saldırı tekniğidir
  • Bu saldırı, Android API'leri ile GPU donanım yan kanalını kullanır ve Google, Samsung gibi büyük üreticilerin çoğu güncel cihazını etkiler
  • Doğrulama kodları, sohbetler, e-postalar gibi ekranda gösterilen tüm bilgiler açığa çıkabilir ve saldırı uygulama izni olmadan da gerçekleştirilebilir
  • Google Authenticator üzerinde 30 saniye içinde ikinci faktör doğrulama kodları çalınabilir
  • Hem Google hem de GPU üreticileri tarafında saldırıyı hafifletecek kesin bir yama veya karşı önlem eksikliği bulunuyor

Genel bakış

  • Pixnapping, kötü amaçlı bir Android uygulamasının başka uygulamalarda veya web sitelerinde gösterilen bilgileri kullanıcı fark etmeden çalmasına olanak tanıyan bir saldırıdır
  • Bilgi sızıntısı, Android API'leri ile GPU yan kanalı (side channel) kötüye kullanılarak gerçekleşir ve Google ile Samsung cihazları dahil çoğu yeni Android akıllı telefonu etkiler
  • Etkilendiği doğrulanan gerçek uygulamalar arasında Gmail, Signal, Google Authenticator, Venmo, Google Maps bulunur ve Google Authenticator'ın 2FA kodları da 30 saniye içinde çalınabilir

Araştırma makalesi ve gösterim

  • ACM CCS 2025'te “Pixnapping: Bringing Pixel Stealing out of the Stone Age” başlıklı makale olarak yayımlanması planlanıyor
  • Saldırının çalışma prensibi ve ayrıntıları ön baskı makaleden incelenebilir

Başlıca soru-cevaplar

Hangi cihazlar etkileniyor

  • Android 13~16 çalıştıran Google Pixel 6, 7, 8, 9, Samsung Galaxy S25 üzerinde doğrulandı
  • Diğer üreticilerin cihazlarında da temel saldırı prensibinin aynı şekilde çalışması kuvvetle muhtemel

Saldırı koşulları

  • İzinsiz herhangi bir Android uygulaması da saldırıyı çalıştırabilir
  • Uygulama manifest dosyasında ek izin beyanı olmadan tetiklenebilir

Hangi bilgiler çalınabilir

  • Ekranda gösterilen tüm bilgiler (sohbetler, doğrulama kodları, e-postalar vb.) saldırının hedefi olabilir
  • Ekranda gösterilmeyen iç bilgiler sızdırılamaz

Gerçek kötüye kullanım vakaları

  • Şu anda fiilen kötüye kullanılıp kullanılmadığı doğrulanmış değil

Kullanıcılar nasıl korunabilir

  • Yeni Android güvenlik yamaları çıktığında hemen yüklenmesi önerilir

Geliştiriciler nasıl korunabilir

  • Etkili bir savunma veya geçici çözüm şu anda bilinmiyor
  • Güvenlikle ilgili içgörüleri olanların araştırmacılarla iletişime geçmesi isteniyor

Saldırının çalışma prensibi

  1. Kötü amaçlı uygulama, hedef uygulamayı (ör. Google Authenticator) çağırarak hassas bilgilerin render edilmesini tetikler
  2. Hedef uygulama ekranındaki belirli piksele grafik işlemi (bulanıklaştırma vb.) zorla uygular
  3. GPU.zip gibi bir yan kanal kullanarak 2. adımdaki pikseli tek tek çıkarır
  • 2 ve 3. adımlar tekrar edilerek tüm pikseller geri elde edilir, ardından OCR ile asıl içerik çıkarılır
  • Etki olarak, kötü amaçlı uygulamanın normalde erişemediği ekranın ekran görüntüsünü almasına benzer

Kötüye kullanılan Android API'leri

  • window blur API ile hassas piksel bölgesine grafik işleme (bulanıklaştırma) uygulanır
  • VSync callback üzerinden render süresi ölçülür ve piksel bazlı çıkarımda kullanılır

Google'ın yaması ve yanıtı

  • Google, uygulamanın çağırabileceği blur işleme aktivitesi sayısını sınırlayarak yanıt verdi, ancak kısa süre içinde bir bypass/workaround bulundu
  • Bu workaround şu anda kamuya açıklanmamış durumda (embargo)

Donanım düzeyindeki yan kanal

  • Piksel bilgisi, GPU.zip adlı GPU tabanlı bir yan kanal üzerinden çıkarılıyor
  • Ekim 2025 itibarıyla GPU üreticileri tarafında ayrı bir yama planı bulunmuyor

Zafiyet kimlik bilgisi (CVE)

  • Resmî olarak CVE-2025-48561 olarak kaydedildi

Diğer işletim sistemlerine etkisi

  • Android, uygulamaların başka uygulamaların ekran verisine grafik işlemleri uygulayabilmesi ve yan etkileri ölçebilmesi nedeniyle saldırı hedefi oluyor
  • Diğer işletim sistemlerine uygulanabilirliği doğrulanmış değil

App List Bypass ek zafiyeti

  • Kurulu diğer uygulamaların listesini ek izin veya manifest beyanı olmadan tespit etmeyi sağlayan bir app list bypass zafiyeti de bulunuyor
  • Bu, kullanıcı profillemede kullanılabilir ve mevcut bypass yöntemlerinden farklı olarak ek beyan gerektirmez
  • Google bunu “Infeasible” olarak değerlendirip ayrı bir işlem yapmadan kapattı

Logo, kaynak kodu ve lisans

  • Pixnapping logosu CC0 lisansıyla serbestçe kullanılabilir
  • Yamalar dağıtıldıktan sonra kaynak kodunun GitHub(https://github.com/TAC-UCB/pixnapping) üzerinde yayımlanması planlanıyor

Yanıt ve önemli takvim

  • 2025 Şubat~Ekim arasında Google ve Samsung'a zafiyet kademeli olarak bildirildi ve yanıt talep edildi
  • Google, Pixnapping ve app list bypass için risk seviyelerini High/Low olarak sınıflandırdı; bazı yamalar yetersiz kaldı veya uygulanamaz olarak değerlendirildi
  • 2025 Aralık Android güvenlik bülteninde ek yamalar planlanıyor

Özet

  • Pixnapping, uygulama izin yapısı ile donanım davranışındaki birleşik açıkları kullanarak gerçek ekrandaki önemli bilgileri yetkisiz biçimde sızdırabilen bir saldırıdır
  • Hem Android yazılımı hem de donanım güvenliği tarafında yapısal iyileştirmeler gerektiriyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-10-17
Hacker News görüşleri

  • Bana göre asıl sorun, Android’in izin sisteminin kullanıcıdan onay almadan varsayılan olarak "arka planda çalıştırma" veya "internete erişim"e izin vermesi; bu tür saldırılar, çevrimdışı oyunlar dahil tüm uygulamaların varsayılan olarak bu izinlere sahip olması nedeniyle mümkün oluyor; birçok uygulama internete yalnızca "uygulamayı kullanırken" erişebilmelidir ve bu kusursuz bir koruma olmasa da, yanlışlıkla kötü amaçlı bir uygulama çalıştırma riski her zaman bulunduğundan saldırının etkisini büyük ölçüde azaltabilir

    • Acaba otomatik güncelleme ile manuel/güncellenmemiş durumların risk düzeyi üzerine düzgün bir araştırma var mı diye merak ediyorum; özellikle Android gibi yarı sandbox’lı ortamlarda hata oranlarını karşılaştıran bir çalışma bilen var mı diye sormak istiyorum

    • Aslında internete erişim izni diye bir şey var ve GrapheneOS’te bu izni bildiren uygulamalar için internet erişimi tamamen reddedilebiliyor

    • Android uygulamalarında neden internet erişimi için kullanıcıdan izin istenmediğine dair ikna edici bir yanıt var; bu, Android geliştirme ekibinden doğrudan bir cevap kaynak, "arka planda çalıştırma" konusunda ise Android "intent" tabanlı olduğu için uygulamalar her an uyandırılabildiğinden, basit bir "arka planda çalıştırmayı yasakla" seçeneği kullanıcının beklediği gibi çalışmayabilir

  • Videoyu izlememe rağmen bu saldırının nasıl çalıştığını anlamakta zorlandım; uygulama değiştirildikten sonra bile kimlik doğrulama uygulamasının piksellerine erişilebildiğini merak ediyorum

  • Uygulama geliştiricisi olarak kullanıcıları korumak için ne yapılabilir sorusuna, kamuya açık bir önlem olmadığı söyleniyor ama bence bazı temel denemeler var; örneğin şifre kodunun ekrandaki konumunu sabit tutmamak, arka planda gizlemek, kodu sürekli hareket ettirmek, renk ve kontrastı değiştirmek, statik gürültü göstermek, kodun tamamını değil yalnızca bir kısmını kısa kısa yanıp söndürmek gibi yöntemler öneriyorum; elbette bunlar UX’i bir miktar etkileyebilir ama teorik olarak saldırganın işini ciddi biçimde zorlaştırabilir; yine de ekran görüntüsü olarak önbelleğe alınmış gizli bilgiler varsa bunun bir sınırı olduğunu da belirtiyorum

    • Google Authenticator’ın bir ara TOTP kodlarını dokunmadan göstermeyecek şekilde değiştirildiğini hatırlıyorum; o zaman bunun gerçek tehdidi önlemediğini ve sadece kullanım zorluğu yarattığını düşünmüştüm, birçok kişi de aynı fikirdeydi, bu yüzden özellik kısa süre sonra sessizce geri alındı; acaba bu kusura karşı önleyici bir tedbir miydi diye merak ediyorum

    • unscreenshottable.vercel.app adlı bir demo tanıtılıyor

  • TOTP açısından bu saldırının pratikte mümkün olabilmesi için fontun ve piksel konumlarının kusursuz biçimde bilinmesi gerektiği vurgulanıyor; makaleye göre hassas ekran bölgelerini çalmak uzun zaman alıyor ve örneğin 2FA kodları varsayılan olarak her 30 saniyede bir yenilendiği için çok sıkı bir zaman sınırı var; saldırgan 30 saniye içinde 6 hanenin tamamını sızdıramazsa değer kayboluyor, ancak font saldırgan tarafından biliniyorsa yalnızca birkaç pikselin sızdırılması bile ayırt etmek için yeterli olabilir

    • Yaygın kullanılan doğrulama uygulamaları zaten birkaç tane (Google, Microsoft Authenticator, Okta vb.) olduğu için bunun pratikte büyük bir engel olmadığını düşünüyorum

  • Bu, uzun zamandır var olan bir teknik ama hedefi hassas biçimde vurmak için oldukça etkili olduğu belirtiliyor; kullanıcının telefonuna belirli bir uygulama yükletebiliyorsanız, bu kadar karmaşık yollara girmeden doğrudan uygulamanın içinden istediğiniz bilgiye erişebilirsiniz; örneğin Facebook gibi bir uygulama kullanıcıya "bu uygulama ekranı periyodik olarak yakalar" diye bir gizlilik bildirimi gösterse şaşırtıcı derecede çok insan buna izin verir; Pixnapping kaynak kodunun yamalanabilir hale geldiğinde burada yayımlanacağı söylenmiş ama aslında tersine mühendislik de çok zor görünmüyor; yamaya kadar beklenebilirdi ama araştırmacılar sanırım ilgiyi erken toplamak istedi

    • Aslında güvenlik açığı yaması zaten yayımlandı; ilgili commit mesajında da açıkça "piksellerin çalınmasını önlemek için pencereler arası blur süresi ölçümü" deniyor; araştırmacıların kodu yayımlamama nedeni, bu yamaya bir baypas yöntemi bulmuş olmaları; ayrıca "GPU.zip için yama sözü veren hiçbir GPU satıcısı yok", "Google da uygulama listesi baypas açığını yamalamaya istekli değil" diye belirtiliyor ("düzeltilmeden kapatıldı"); ilk bildirimin 24 Şubat 2025 tarihli olduğu düşünülürse araştırmacıların aceleci davrandığını söylemek zor, ayrıca "bu uygulama ekranı periyodik olarak yakalar" bildirimi olsa bile açıkça ekran görüntüsüne kapalı olarak ayarlanmış ekranlar ayrı bir exploit olmadan yakalanamaz

    • Google’a ilk bildirimin yapıldığı tarih 24 Şubat 2025; yeterince zaman verildi

  • Bu saldırının render süresini bir side-channel olarak kullanan akıllıca bir teknik olduğu kabul ediliyor; Google Authenticator’da bile tüm pikselleri toplamanın epey zaman alacağı belirtiliyor; asıl kaygım, bunun SMS’lerden OTP çalmak için ne kadar uygulanabilir olduğu; GitHub bildirim e-postaları gibi sabit desenli phishing e-postaları da çoğaldığı için artık e-postalardaki bağlantılara tıklamayı tamamen bıraktım, şimdi de uygulamaları intent önerileriyle açmaktan kaçınmam gerektiğini düşünüyorum; uygulamayı doğrudan açıp işimi yapmak ve gereksiz uygulamaları silmek daha iyi; saldırı yüzeyi SDK’ler veya web sayfası intent’leri üzerinden de genişleyebileceği için bunun fazlasıyla göz ardı edildiğini düşünüyorum

  • Başlığa bakınca bunun web tarayıcısı oyunu olduğunu sanıp araştırmıştım

  • Güvenlik uzmanı değilim ama Windows masaüstüne bir uygulama kurduğunuzda, Android’deki pixnapping’den çok daha hızlı ve gizli saldırılar yapılabileceğini düşünüyorum; aynı parolayı birden fazla web sitesinde kullanırsanız, bunlardan biri parolayı çalıp başka bir yerde oturum açmak için kullanabilir (ek bir güvenlik katmanı yoksa); teorik olarak güvenlik zayıf ama pratikte bu tür saldırılar ne çok yaygın ne de gerçekleştirmesi çok kolay

    • Masaüstünde sandbox yok, mobilde ise var; bu yüzden sandbox’tan çıkmak zaten başlı başına bir güvenlik ihlalidir; ayrıca masaüstünde tek tek fast-food uygulamaları kurmuyoruz ama mobilde rastgele uygulama yükleme çok daha yaygın

  • Önceki tartışma bağlantısı paylaşılıyor

    • Önceki tartışmada yama çıktığı için endişelenmeye gerek olmadığı yönünde çok tepki vardı ama bu örnekte söz konusu yamanın tamamen işe yaramadığı söyleniyor

  • Modern cihazlar o kadar karmaşık hale geldi ki tam güvenliğin imkânsız olduğunu düşünüyorum; aslında gerekli olmayan özellikler sonsuz biçimde eklendikçe böyle şeyler yaşanıyor gibi görünüyor; ileride FreeBSD benzeri, yalnızca asgari özellikler içeren güvenlik odaklı işletim sistemlerine talebin giderek artacağına inanıyorum

    • Hareket halindeyken bile terminalde make world çalıştırabildiğim bir ortam istiyorum

    • Bunnie’nin yaptığı Precursor diye bir cihaz var; hoş olsa da bana fazla pahalı geldi; 100 dolarlık bir hesap makinesini pahalı buluyorsanız, Precursor da benzer formda ve benzer hesaplama gücünde ama 1000 dolar ve üstelik matematik sınavında da kullanılamaz; Precursor resmî blogu (şu anda erişilemiyor, sonra açılabilir)

    • Yıllardır HN yorumlarını okurken güvenlik bilgisi ve pratiklerinin ciddi biçimde gerilediğini hissettim; generative AI’nin yaygınlaşmasıyla bunun daha da kötüleşeceğini düşünüyorum; bugünlerde fsf telefon projeleri konuşulurken bir yandan da mobil bankacılık uygulamalarını kullanmanın rahatsız edici olduğundan şikâyet eden çok kişi var; masaüstünde her 30 dakikada bir parola girmek de zahmetli deniyor, "iki telefon mu taşımamız gerekiyor" diye yakınanlar da çok; bana kalırsa telefonunuzu çalan biri parola girişinizi bir kez gördüyse hemen banka uygulamasını, para uygulamalarını açıp mümkün olduğunca çok veri toplamaya çalışacaktır; bunun gibi suçlar gerçekten her gün yaşanıyor; bu tür uygulamaları telefona hiç kurmamak ya da oturumu açık bırakmamak daha iyi, 2FA uygulamaları için de aynı şey geçerli; bu, pahalı markalı bir valiz taşımak gibi hedef olduğunuzu belli etmek demek; CEO ya da devlet düzeyinde bir hedef değilseniz bile daha dikkatli olmak gerekir; "asgari özellikli güvenlik OS" cihazlarında da fiziksel olarak kapılma sorunu özünde kalır (birinin parolanızı görüp cihazı çalması), ama bardayken oyun ve reklam uygulamaları yüklü bir telefon ile bankacılık, 2FA ve iş için kullanılan telefonu kesin biçimde ayırmak gerekir