Una nuova vulnerabilità chiamata Pixnapping mette a rischio la sicurezza degli smartphone Android, in particolare dei dispositivi Google e Samsung con sistema operativo Android dalla versione 13 alla 16. Pixnapping è un attacco side-channel che consente a un’app malevola di rubare pixel dallo schermo, riuscendo così a estrarre dati sensibili come codici di autenticazione a due fattori (2FA), cronologie di Google Maps e altre informazioni personali, tutto senza che l’utente ne sia consapevole e senza che l’app abbia autorizzazioni particolari.

Alla base della tecnica Pixnapping

Alla base di questa tecnica c’è la possibilità di sfruttare alcune API di Android e una vulnerabilità hardware legata alla gestione della grafica (GPU). Un’app dannosa può spingere i pixel di interesse, come quelli che visualizzano il codice 2FA, nella pipeline di rendering di Android attraverso gli intent e poi manipolarli usando una serie di attività semi-trasparenti. In meno di 30 secondi, il malware riesce a ricostruire il dato sensibile pixel per pixel.

Il ruolo di GPU.zip e delle API Android

Il cuore del problema deriva da una caratteristica chiamata GPU.zip, già nota in ambito di sicurezza informatica, che sfrutta la compressione dei moderni processori grafici. Gli attaccanti possono combinare questa tecnica con l’API window blur di Android per “spiare” i pixel visualizzati da altre app, anche quelle che dovrebbero essere particolarmente sicure come Google Authenticator.

Impatto e rischi per gli utenti

Un aspetto particolarmente critico di Pixnapping è che qualsiasi app Android può sfruttare la vulnerabilità, anche senza permessi dichiarati nel proprio manifest. L’unica condizione richiesta è che l’utente venga ingannato e installi l’app. Inoltre, gli autori della ricerca hanno dimostrato che, modificando leggermente i tempi di esecuzione dell’attacco, è possibile aggirare anche le prime patch rilasciate da Google.

Risposte di Google e implicazioni per la sicurezza

Google ha riconosciuto la gravità della falla assegnandole il codice CVE-2025-48561 e ha distribuito una patch a settembre 2025, annunciando un ulteriore aggiornamento per dicembre 2025 a seguito della scoperta di nuove modalità di attacco. Nonostante la tempestività della risposta, la vulnerabilità dimostra come la progettazione “a strati” delle app Android, pensata per facilitare la collaborazione tra app, possa diventare un vettore di rischio. Inoltre, la ricerca ha evidenziato che è possibile anche ricavare la lista delle app installate sul dispositivo, bypassando le restrizioni introdotte da Android 11.

Questa vicenda sottolinea l’importanza di installare solo app fidate e aggiornare costantemente il sistema operativo, in attesa di contromisure più efficaci da parte di Google e dei produttori di dispositivi.