Các nhà nghiên cứu an ninh mạng đã phát hiện ra một lỗ hổng bảo mật mới nguy hiểm trên Android, được gọi là "Pixnapping", có thể cho phép các ứng dụng độc hại bí mật đánh cắp những gì đang hiển thị trên màn hình điện thoại của bạn — bao gồm cụm từ khôi phục ví tiền điện tử, mã xác thực hai yếu tố (2FA) và các thông tin nhạy cảm khác.
Theo một bài nghiên cứu mới được công bố, Pixnapping vượt qua các biện pháp bảo mật thông thường của Android và thậm chí có thể trích xuất dữ liệu từ các ứng dụng không phải trình duyệt. Lỗ hổng này không chụp ảnh màn hình hay ghi lại trực tiếp những gì trên màn hình của bạn — thay vào đó, nó sử dụng một thủ thuật hình ảnh thông minh để tái tạo lại những gì bạn đang thấy, từng pixel một.
Đầu tiên, ứng dụng của kẻ tấn công âm thầm đặt một số lớp phủ bán trong suốt lên trên các ứng dụng khác, chỉ để lộ một vùng pixel duy nhất. Bằng cách thay đổi màu sắc và độ trong suốt của các lớp phủ này, đồng thời căn chỉnh cẩn thận cách pixel đó phản ứng, ứng dụng độc hại có thể "đọc" thông tin màu sắc đến từ bên dưới nó.
Bằng cách lặp lại quá trình này trên nhiều pixel và khung hình, nó sẽ dần dần tái tạo lại toàn bộ hình ảnh hiển thị trên màn hình — bao gồm văn bản, số và thậm chí cả cụm từ hạt giống mật mã.
Mặc dù quá trình này mất thời gian, khiến nó kém hiệu quả hơn đối với màn hình thay đổi nhanh, nhưng nó có thể cực kỳ nguy hiểm khi nhắm vào thông tin chỉ hiển thị trong vài giây — chẳng hạn như cụm từ khôi phục ví hoặc mã 2FA đang được sao chép.
Cụm từ hạt giống — những từ duy nhất cung cấp quyền truy cập đầy đủ vào ví tiền điện tử của người dùng — đặc biệt có nguy cơ cao. Nhiều người dùng hiển thị những cụm từ này đủ lâu để sao chép thủ công, tạo cơ hội cho kẻ tấn công chiếm đoạt chúng.
Trong các thử nghiệm trong phòng thí nghiệm, các nhà nghiên cứu đã chứng minh rằng Pixnapping có thể khôi phục thành công mã 2FA 6 chữ số từ điện thoại Google Pixel trong phần lớn các thử nghiệm. Cuộc tấn công đạt tỷ lệ thành công là 73% trên Pixel 6, 53% trên Pixel 7, 29% trên Pixel 8 và 53% trên Pixel 9, với thời gian khôi phục trung bình từ 14 đến 25 giây.
Mặc dù việc tái tạo lại cụm từ khôi phục đầy đủ gồm 12 từ sẽ mất nhiều thời gian hơn, nhưng cuộc tấn công vẫn khả thi nếu cụm từ đó hiển thị quá lâu — đặc biệt là trên màn hình có độ phân giải cao.
Các nhà nghiên cứu đã thử nghiệm lỗ hổng này trên các phiên bản Android từ 13 đến 16, bao gồm Pixel 6 đến 9 của Google và Galaxy S25 của Samsung. Do các API Android bị khai thác có sẵn rộng rãi, lỗ hổng này cũng có thể ảnh hưởng đến các thiết bị khác.
Ban đầu, Google đã cố gắng vá lỗ hổng bằng cách giới hạn số lớp phủ mà một ứng dụng có thể làm mờ cùng lúc. Tuy nhiên, nhóm nghiên cứu đã nhanh chóng tìm ra giải pháp thay thế giúp duy trì khả năng tấn công. Bài báo lưu ý
“Tính đến ngày 13 tháng 10, chúng tôi vẫn đang phối hợp với Google và Samsung về mốc thời gian công bố và các biện pháp giảm thiểu.”
Google đã đánh giá lỗ hổng này ở mức độ nghiêm trọng cao và trao thưởng cho các nhà nghiên cứu. Nhóm nghiên cứu cũng thông báo với Samsung rằng bản vá ban đầu của Google không bảo vệ hoàn toàn các thiết bị Galaxy.
Các chuyên gia khuyến cáo không nên hiển thị cụm từ khóa hạt giống hoặc khóa riêng tư trên thiết bị Android — hoặc bất kỳ thiết bị nào được kết nối internet. Cách tiếp cận an toàn nhất là lưu trữ và quản lý khóa bằng ví phần cứng, giúp dữ liệu riêng tư luôn ở trạng thái ngoại tuyến và không bao giờ bị lộ cho các ứng dụng hoặc trình duyệt có khả năng bị xâm phạm.
Ví phần cứng hoạt động như một thiết bị bảo mật biệt lập, ký các giao dịch một cách độc lập mà không bao giờ tiết lộ thông tin nhạy cảm cho điện thoại hoặc máy tính của bạn. Như nhà nghiên cứu an ninh mạng Vladimir S đã nói thẳng thắn trên X:
“Đừng dùng điện thoại để bảo mật tiền điện tử. Hãy sử dụng ví phần cứng!”
Việc phát hiện ra Pixnapping là một lời nhắc nhở nghiêm túc rằng ngay cả điện thoại thông minh hiện đại cũng không tránh khỏi những lỗ hổng bảo mật mới. Đối với những người nắm giữ tiền điện tử, điều này củng cố một sự thật quen thuộc: bảo mật thực sự vẫn nằm ở sự thận trọng, cô lập và lưu trữ lạnh.
Google đã bắt đầu triển khai Android 15, giới thiệu các tính năng bảo mật mới như Khóa phát hiện trộm cắp và Khóa từ xa, giúp người dùng bảo vệ thiết bị của mình khỏi bị trộm. Tuy nhiên, tính năng Bảo mật mạng di động đã hứa hẹn lại thiếu, khiến người dùng thất vọng, trong khi các cải tiến như nhắn tin vệ tinh và cử chỉ quay lại dự đoán cải thiện khả năng sử dụng tổng thể.
WeatherlyThông báo ra mắt MixMob: Racer 1: Trò chơi dựa trên Solana ra mắt vào ngày 14 tháng 5 trên thiết bị di động. Cuộc đua chiến lược đáp ứng việc lựa chọn thẻ trong bối cảnh đen tối. Tích hợp mã thông báo MXM cho phép quản trị và khen thưởng. Có sẵn đơn đặt hàng trước, NFT và thỏa thuận cấp phép nâng cao lối chơi.
EdmundViệc Robinhood ra mắt ví tiền điện tử Android đánh dấu một bước quan trọng trong việc mở rộng quyền truy cập vào tiền điện tử. Với sự hỗ trợ cho Shiba Inu và tích hợp với các mạng chính, nó nhằm mục đích phục vụ lợi ích đa dạng của người dùng. Trong khi tăng cường khả năng tiếp cận, việc nắm giữ tập trung các token Shiba Inu của Robinhood sẽ gây ra những cân nhắc về tính phân cấp.
Cheng YuanRobinhood ra mắt ví tiền điện tử Android toàn cầu, phục vụ hơn một triệu người dùng trong danh sách chờ. Hỗ trợ Bitcoin, Ethereum, Dogecoin, Shiba Inu, Polygon và NFT. Quan hệ đối tác của MetaMask tăng cường chức năng. Bernstein đặt mục tiêu giá 30 USD. Cổ phiếu Robinhood tăng 35% từ đầu năm đến nay, giao dịch ở mức 17 USD.
Huang BoChatGPT có thể sớm thách thức sự thống trị của Trợ lý Google trên Android, cho thấy sự thay đổi đáng kể trong các lựa chọn trợ lý giọng nói AI cho người dùng.
KikyoOKX, cùng với CertiK, tiết lộ lỗ hổng ví iOS, kêu gọi cập nhật; giữa các cuộc tranh luận, người dùng phải đối mặt với rủi ro khi cả hai đều phải đối mặt với các thách thức về tiền điện tử.
Hui Xin
JinseFinanceLỗ hổng được phát hiện trong Celer’s State Guardian Network, một chuỗi khối Proof-of-Stake (PoS) mà nó vận hành.
TheBlockLisbon, Bồ Đào Nha, ngày 26 tháng 8 năm 2022 (DÂY TIN TỨC GLOBE) -- NearPay, một giao thức tài chính tiền điện tử, đã chính thức ra mắt thẻ tiền điện tử ảo và Ví của nó dành cho iOS và Android để mang đến...
GlobenewswireNearPay, một giao thức tài chính tiền điện tử hiện đã ra mắt thẻ tiền điện tử ảo và ví cho người dùng iOS và Android. NearPay ...
Bitcoinist