{"id":30309,"date":"2025-11-27T11:06:22","date_gmt":"2025-11-27T09:06:22","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30309"},"modified":"2025-11-27T11:06:22","modified_gmt":"2025-11-27T09:06:22","slug":"pixnapping-cve-2025-48561","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/pixnapping-cve-2025-48561\/30309\/","title":{"rendered":"Vulnerabilit\u00e0 Pixnapping: screenshot non bloccabili del telefono Android"},"content":{"rendered":"

Android inasprisce costantemente le restrizioni delle app per impedire ai truffatori di utilizzare software dannosi per rubare denaro, password e i segreti privati degli utenti. Tuttavia, una nuova vulnerabilit\u00e0 denominata Pixnapping<\/a> ignora tutti i livelli protettivi di Android e consente a un utente malintenzionato di leggere impercettibilmente i pixel dell\u2019immagine dallo schermo, essenzialmente facendo uno screenshot. Un\u2019app dannosa senza autorizzazioni pu\u00f2 visualizzare sullo schermo password, saldi dei conti bancari, codici monouso e qualsiasi altro elemento visualizzato dal proprietario. Fortunatamente, Pixnapping \u00e8 al momento un progetto puramente basato sulla ricerca e non viene ancora sfruttato attivamente dagli autori delle minacce. La speranza \u00e8 che Google corregga a fondo la vulnerabilit\u00e0 prima che il codice di attacco venga integrato nel malware reale. Al momento, la vulnerabilit\u00e0 Pixnapping (CVE-2025-48561<\/a>) riguarda probabilmente tutti i moderni smartphone Android, inclusi quelli che eseguono le versioni Android pi\u00f9 recenti.<\/p>\n

Perch\u00e9 gli screenshot, la proiezione dei file multimediali e la lettura dello schermo sono pericolosi<\/h2>\n

Come dimostrato dallo stealer OCR SparkCat<\/a> che abbiamo scoperto, gli autori delle minacce sono gi\u00e0 esperti di elaborazione delle immagini. Se l\u2019immagine di uno smartphone contiene un\u2019informazione preziosa, il malware \u00e8 in grado di rilevarla, eseguire l\u2019OCR direttamente sul telefono, quindi esfiltrare i dati estratti nel contenitore del server dell\u2019utente malintenzionato. SparkCat \u00e8 particolarmente degno di nota perch\u00e9 \u00e8 riuscito a infiltrarsi nei marketplace ufficiali delle app, incluso l\u2019App Store. Non sarebbe difficile per un\u2019app dannosa abilitata per Pixnapping replicare questo trucco, soprattutto perch\u00e9 l\u2019attacco non richiede alcuna autorizzazione speciale. Un\u2019app che sembra offrire una funzionalit\u00e0 legittima e utile potrebbe inviare simultaneamente e silenziosamente codici di autenticazione multifattoriale<\/a> monouso, password di criptovalute e qualsiasi altra informazione ai truffatori.<\/p>\n

Un\u2019altra tattica popolare utilizzata dagli utenti malintenzionati consiste nel visualizzare i dati richiesti come illustrati, in tempo reale. Per questo approccio di social engineering, la vittima viene contattata tramite un\u2019app di messaggistica e, con vari pretesti, convinta ad abilitare la condivisione dello schermo<\/a>.<\/p>\n

Anatomia dell\u2019attacco<\/h2>\n

I ricercatori sono stati in grado di creare screenshot dei contenuti di altre app combinando metodi precedentemente noti per rubare pixel dai browser e dalle unit\u00e0 di elaborazione grafica (GPU) dei telefoni ARM. L\u2019app responsabile dell\u2019attacco sovrappone automaticamente le finestre traslucide alle informazioni di destinazione e quindi misura il modo in cui il sistema video combina i pixel di queste finestre a pi\u00f9 livelli in un\u2019immagine finale.<\/p>\n

Gi\u00e0 nel 2013 i ricercatori descrivevano un attacco che consentiva a un sito Web di caricarne un altro all\u2019interno di una parte della propria finestra (tramite un iframe<\/a>) e, eseguendo operazioni legittime di stratificazione e trasformazione delle immagini, dedurre esattamente cosa era disegnato o scritto sull\u2019altro sito. Sebbene i browser moderni abbiano mitigato questo attacco specifico, un gruppo di ricercatori statunitensi ha ora capito come applicare lo stesso principio di base ad Android.<\/p>\n

L\u2019app dannosa invia prima una chiamata di sistema all\u2019app di destinazione. In Android questa operazione \u00e8 nota come Intent<\/a>. Gli Intent in genere consentono non solo il semplice avvio delle app, ma anche l\u2019apertura immediata di un browser per un URL specifico o di un\u2019app di messaggistica per la chat di un contatto specifico. L\u2019app responsabile dell\u2019attacco invia un Intent progettato per forzare il rendering dello schermo con le informazioni riservate da parte dell\u2019app di destinazione. Vengono utilizzati speciali flag di avvio nascosti. L\u2019app responsabile dell\u2019attacco invia quindi un Intent di avvio a se stessa. Questa specifica combinazione di azioni consente all\u2019app della vittima di non apparire affatto sullo schermo, ma continua a visualizzare in background le informazioni ricercate dall\u2019utente malintenzionato nella relativa finestra.<\/p>\n

Nella seconda fase dell\u2019attacco, l\u2019app dannosa sovrappone alla finestra nascosta dell\u2019app della vittima una serie di finestre traslucide, ognuna delle quali copre e sfoca il contenuto sottostante. Questa disposizione complessa delle finestre rimane invisibile all\u2019utente, ma Android calcola come dovrebbe apparire se l\u2019utente la portasse in primo piano.<\/p>\n

L\u2019app responsabile dell\u2019attacco pu\u00f2 leggere direttamente i pixel solo dalle proprie finestre traslucide; l\u2019immagine combinata finale, che incorpora il contenuto dello schermo dell\u2019app della vittima, non \u00e8 direttamente accessibile all\u2019utente malintenzionato. Per aggirare questa restrizione, i ricercatori impiegano due ingegnosi espedienti: (i) il pixel specifico da rubare viene isolato dall\u2019ambiente circostante sovrapponendo all\u2019app della vittima una finestra per lo pi\u00f9 opaca che ha un singolo punto trasparente esattamente sopra il pixel di destinazione; (ii) un livello di ingrandimento viene quindi posizionato sopra questa combinazione, costituito da una finestra con una forte sfocatura abilitata.<\/p>\n

\"Come

Come funziona la vulnerabilit\u00e0 di Pixnapping<\/p><\/div>\n

Per decifrare e determinare il valore del pixel pi\u00f9 in basso, i ricercatori hanno sfruttato un\u2019altra vulnerabilit\u00e0 nota, GPU.zip<\/a> (pu\u00f2 sembrare un collegamento a un file, ma in realt\u00e0 porta al sito mostrando un documento di ricerca). Questa vulnerabilit\u00e0 si basa sul fatto che tutti i moderni smartphone comprimono i dati di qualsiasi immagine inviata dalla CPU alla GPU. Questa compressione \u00e8 senza perdite (come un file ZIP), ma la velocit\u00e0 di compressione e decompressione cambia a seconda delle informazioni trasmesse. GPU.zip consente a un utente malintenzionato di misurare il tempo necessario per comprimere le informazioni. Sincronizzando queste operazioni, l\u2019utente malintenzionato pu\u00f2 dedurre quali dati vengono trasferiti. Con l\u2019aiuto di GPU.zip, il singolo pixel isolato, sfocato e ingrandito della finestra dell\u2019app vittima pu\u00f2 essere letto correttamente dall\u2019app che attacca.<\/p>\n

Rubare qualcosa di significativo implica ripetere l\u2019intero processo di furto di pixel centinaia di volte, poich\u00e9 deve essere applicato a ciascun punto separatamente. Tuttavia, questa operazione \u00e8 del tutto fattibile in un breve lasso di tempo. In un video dimostrativo<\/a> dell\u2019attacco, un codice a sei cifre di Google Authenticator \u00e8 stato estratto correttamente in soli 22 secondi mentre era ancora valido.<\/p>\n

In che modo Android protegge la riservatezza dello schermo<\/h2>\n

I tecnici Google hanno quasi vent\u2019anni di esperienza nella lotta a vari attacchi alla privacy, il che ha portato a una difesa a pi\u00f9 livelli contro l\u2019acquisizione illegale di screenshot e video. L\u2019elenco completo di queste misure dovrebbe estendersi su pi\u00f9 pagine, pertanto vengono elencate solo alcune protezioni chiave:<\/p>\n