Pixnapping Androidの欠陥
サイバーセキュリティ研究者らは、GoogleとSamsungのAndroidデバイスに影響を与える重大な脆弱性「Pixnapping」を特定しました。このサイドチャネル攻撃では、悪意のあるアプリがユーザーの知らないうちに画面のピクセルをキャプチャすることで、2要素認証(2FA)コードやGoogleマップのタイムラインなどの機密データを密かに盗み出すことができます。この攻撃はピクセル単位で実行されるため、非常に正確かつステルス性に優れています。
目次
ピクナッピングの仕組み:その核心はピクセル窃盗
Pixnappingの根幹は、標準的なブラウザの緩和策を回避し、Google Authenticatorなどの非ブラウザアプリを標的とするピクセル窃取フレームワークです。Android APIとハードウェアサイドチャネル攻撃を活用して機密情報を迅速に取得し、2FAコードは30秒以内に抽出可能です。
この攻撃は、Android のレンダリング パイプラインを独自の方法で悪用します。
- 悪意のあるアプリは、Android インテントを使用して、被害者のピクセルをレンダリング パイプラインに強制的に挿入します。
- 次に、半透明の Android アクティビティのスタックを適用して、それらのピクセルを計算します。
この手法は、以前はブラウザに限定されていた「Stone スタイル」の攻撃を模倣したもので、現在はネイティブ アプリに適応されています。
リスクのあるデバイスと脆弱性の範囲
この調査では、Android バージョン 13 から 16 を実行している Google と Samsung のデバイス 5 つを具体的に調査しました。他のメーカーはテストされていませんが、攻撃の基本的な原理はすべての Android デバイスに存在し、プラットフォームが広く影響を受けることになります。
驚くべきことに、マニフェストに特別な権限がなくても、どのAndroidアプリでもPixnappingを実行できます。しかし、この攻撃を実行するには、被害者が悪意のあるアプリをインストールして起動する必要があります。多くの場合、これはソーシャルエンジニアリングやトリックによって行われます。
技術的な仕組み: GPU サイドチャネルとウィンドウぼかしのエクスプロイト
Pixnappingは、以前に公開されたGPU.zipサイドチャネル攻撃(2023年9月)を基盤としています。この攻撃は、統合GPUの圧縮機能を利用してブラウザのクロスオリジンピクセルを窃取するものでした。今回の攻撃では、この概念をAndroidのウィンドウブラーAPIと組み合わせることで拡張し、標的アプリからピクセルを窃取することを可能にします。
プロセスは次のように機能します。
- 悪意のあるアプリは、被害者のアプリのピクセルをレンダリング パイプラインに送信します。
- 半透明のアクティビティは、Android インテントを使用してオーバーレイされ、対象のピクセルをマスク、拡大、および送信します。
Android が脆弱な理由: 3 つの要因
研究者は、Pixnapping を可能にする 3 つの条件を特定しました。
- 他のアプリからのアクティビティを Android レンダリング パイプラインに挿入します。
- これらのピクセルに対してグラフィック操作(ぼかしなど)を実行します。
- ピクセルの色に依存する副作用を測定して機密情報を推測します。
Googleの対応とセキュリティアップデート
Googleは、CVE-2025-48561(CVSS 5.5)に基づき、Pixnapping攻撃を追跡しています。2025年9月のAndroidセキュリティ公開情報でパッチがリリースされ、攻撃を部分的に軽減しています。このパッチは、過度なぼかしによってピクセルが盗まれる可能性があるシナリオに対処しています。
2回目のパッチは2025年12月にリリース予定で、タイミング調整によってPixnappingを再び有効にする新たな攻撃ベクトルを遮断します。Googleは、この脆弱性を悪用するにはデバイス固有のデータが必要であると指摘し、Google Play上でこの脆弱性を悪用するアクティブなマルウェアは存在しないことを確認しました。
追加のリスク:アプリの検出とプライバシーへの影響
Pixnapping を使用すると、攻撃者はデバイスにインストールされているアプリを検出し、アプリリストを非表示にするために Android 11 以降に実装された制限を回避することもできます。
この攻撃は、モバイルアプリのレイヤリング、つまりアプリがOS全体で広範囲に連携するシステムに内在するリスクを浮き彫りにしました。レイヤリングされたアプリの機能を完全に制限することは現実的ではありません。代わりに、機密性の高いアプリがオプトアウトできるようにし、攻撃者による測定の実行能力を制限することに重点を置く防御策が考えられます。
ユーザーにとっての重要なポイント
Pixnappingは、アプリの権限昇格を必要とせずに実行される、非常にステルス性の高い攻撃であり、特に巧妙です。信頼できないソースからアプリをインストールすると、悪意のあるアプリケーションが脆弱性を悪用して機密情報にアクセスする可能性があるため、リスクが高まります。Googleはこの問題に対処するための部分的なパッチをリリースしていますが、完全な緩和策は2025年12月に予定されています。それまでの間、ユーザーは警戒を怠らず、2FAアプリやその他の機密データに異常なアクティビティの兆候がないか注意深く監視する必要があります。
