Con il Pixnapping bastano 30 secondi per hackerare uno smartphone Android
Con il Pixnapping bastano 30 secondi per hackerare uno smartphone Android La nuova pratica, utilizzata dai criminali informatici, preoccupa perché riesce a manomettere anche i sistemi di sicurezza a due fattori. Ecco di che si tratta.
La nuova pratica, utilizzata dai criminali informatici, preoccupa perché riesce a manomettere anche i sistemi di sicurezza a due fattori. Ecco di che si tratta.
Sono bastati trenta per dimostrare tutta la vulnerabilità dei telefoni e tablet Android. Solo una manciata di secondi, ma sufficienti per rubare i dati sensibili dell'ignaro utente.
Si parla del pixnapping, un nuovo attacco informatico scoperto, il 24 febbraio scorso, dal team di ricercatori, tra cui Riccardo Paccagnella, assistente professore presso il Dipartimento Software and Societal Systems della Carnegie Mellon University di Pittsburg o Alan Wang della University of California.
Tale ricerca è stata presentata alla conferenza Acm sulla sicurezza dei computer tenutasi questo mese a Taipei, Taiwan, e ha attirato l'attenzione degli esperti di settore proprio per aver dimostrato la relativa facilità con cui possono essere rubati codici di autenticazione a due fattori, i cosiddetti 2FA, ossia quei sistemi di sicurezza che richiedono due diverse prove di identità, messaggi privati o informazioni finanziarie senza che la vittima possa rendersi conto di ciò che sta avvenendo.
DepositNessuna conferma e nessuna protezione - Come detto infatti, non è richiesta alcuna conferma né l'installazione di un software aggiuntivo con i relativi permessi. Dopo aver effettuato tale scoperta, il team di ricercatori ha condiviso i dati raccolti su tale minaccia con Google che lo ha valutato come 'High Severity' e, pur avendo tentato dei correttivi, ad oggi non è riuscita a mettere al riparo Android da tale tipo di attacco.
Google ha altresì annunciato che verrà rilasciato un ulteriore aggiornamento entro il prossimo mese di dicembre, ma la difficoltà di contrastare tale tipo di attacco è dovuta al fatto che lo stesso sfrutta il modo di operare del dispositivo preso di mira. “Risolvere un pixnapping probabilmente richiederà modifiche ai meccanismi principali di Android-ha detto Paccagnella-ad esempio consentendo alle app di impedire ad altre app di disegnare sui propri contenuti sensibili”.
Un rapimento in miniatura - Il termine pixnapping nasce dalla fusione tra le parole pixel e kidnapping, ossia furto di pixel, proprio perché la app dannosa che viene installata sul dispositivo Android può registrare visivamente le attività dello schermo. Attualmente tale attacco è stato dimostrato sui telefoni Google Pixel e Samsung Galaxy S25, ma è molto probabile che verrà adattato anche ad altri modelli di cellulare, anche se aggiornati.
Come dichiarato da uno dei ricercatori ad Ars Technica «tutto ciò che è visibile quando l'app di destinazione viene aperta può essere rubato dalla app dannosa che utilizza pixnapping (…) messaggi di chat, codici 2FA, messaggi di posta elettronica, sono tutti vulnerabili poiché sono visibili. Se una app ha informazioni segrete che non sono visibili (sullo schermo) tali informazioni non possono essere rubate».
DepositUno scatto galeotto - Secondo Alan Linghao Wang, uno degli autori principali della ricerca, «è come se la app dannosa stesse facendo uno screenshot dei contenuti dello schermo a cui non dovrebbe avere accesso». I ricercatori hanno stimato che tale metodo di attacco sia in grado di sottrarre dati sensibili, come codici temporanei generati da Google Authenticator, in 1,2 secondi e identificare codici Otp a otto cifre con una accuratezza superiore all'80%, senza aver avuto bisogno di accedere al alcun file o Api di sistema.
È come se, detto in parole povere, l'attacco rubasse i pixel grafici delle app rubate per poi ricrearli e dare corpo all'immagine rubata: la app dannosa registra visivamente ciò che presente sullo schermo, sfruttando un motore di riconoscimento ottico dei caratteri per convertire l'immagine in testo leggibile, senza aver alcuna autorizzazione per poterlo fare, agendo quindi sulla fiducia nell'interfaccia grafica del dispositivo da parte dell'utente.
Come funziona l'attacco - La vulnerabilità dei dati, come sottolineato dai ricercatori, è quindi dovuta dall'essere contenuti in app presenti sullo schermo del dispositivo attaccato e quindi visibili: una tecnica di attacco ben più raffinata e insidiosa di un malware classico che solitamente necessitano dell'invio di link di phishing via email o social media, oppure della navigazione in siti infetti che lo scaricano automaticamente.
Pixnapping, invece, come spiegato dagli esperti, sfrutta Skia, un meccanismo interno al sistema di rendering di Android che permette la visualizzazione degli elementi sullo schermo. Il vero punto centrale dell'attacco è l'analisi dei tempi di disegno: ogni testo, codice o interfaccia presente sul telefono ha un rendering, ossia il processo di generazione di una immagine, unico che permette a coloro che lanciano l'attacco di ricostruire ciò che l'utente sta visualizzando in quel momento. E' per questo motivo che il pixnapping viene definito come un attacco invisibile, in quanto viene condotto nella totale ignoranza dell'utente coinvolto che è sicuro di stare utilizzando il proprio dispositivo esattamente come avviene di consueto
DepositUna violazione in tre fasi - L'attacco di pixnapping si articola in tre fasi: nella prima fase viene installata una app dannosa capace, come detto, di accedere ai pixel visualizzati sullo schermo attraverso un canale laterale hardware, noto come 'GPU.zip' che fa trapelare informazioni su come siano elaborati tali dati visivi. La sua pericolosità è data anche dal funzionare in background, ossia senza poter essere rilevata dall'utente attaccato e tanto meno dai sistemi antivirus.
Una volta che l'attacco è stato avviato, l'app malevola di insinua nella gestione delle finestre di visualizzazione permettendo di registrare, con la modalità pixel to pixel, tutto ciò che l'utente sta guardando in quel momento sullo schermo, che siano messaggi privati o codici di autenticazione. A questo punto, nell'ultima fase dell'attacco, sfruttando la debolezza dell'hardware denominata Gpu.zip, i cyber-criminali posso ricreare dei testi leggibili dai pixel rubati impossessandosi dei dati sensibili della vittima. La sua pericolosità, quindi, appare quanto mai evidente, in un'epoca in cui si affidano ai cellulari o tablet delle funzioni di autenticazione, pagamento e riconoscimento di identità.
Le vittime preferite e i rischi maggiori - Secondo gli esperti, i bersagli preferiti del pixnapping sono le pagine di home banking e le app di messaggistica dei social network dalle quali si possono ricavare quei dati utili per tessere successivamente frodi online o procedere al furto di identità.
Anche per i possessori di criptovaluta il metodo pixnapping è particolarmente insidioso dato che le 'seed words', ossia le 12 o 24 lettere che garantiscono l'accesso al wallet, sono particolarmente vulnerabili rimanendo visibili sullo schermo mentre l'utente le digita per il backup. Anche in questo caso, la visibilità del codice sullo schermo viene sfruttato dai cyber-criminali che possono, una volta impossessatisi del codice d'accesso, controllare l'intero portafoglio.
Per tale motivo viene consigliato l'utilizzo di portafogli hardware, con chiavi private che non vengono visualizzate sullo schermo oppure, più banalmente, sarebbe bene riportare tali codici su carta piuttosto che lasciarle visibili sul telefono.
DepositCome ci si difende - Come raccomandato dagli esperti e da Google stessa, vi sono dei comportamenti corretti da adottarsi per cercare di bloccare tale tipo di attacco: in primo luogo, è di fondamentale importanza limitare i permessi concessi nel momento in cui si installa una nuova applicazione. Rendersi conto e valutare con attenzione quale tipo di autorizzazioni stiamo effettivamente concedendo è il primo passo per rendere più sicuro il proprio dispositivo, così come anche controllare periodicamente le applicazioni in nostro possesso per escludere la possibilità che un malware si sia installato a nostra insaputa.
Altro comportamento corretto da adottare, anche se nella pratica è grandemente disatteso, è quello di non condividere dati sensibili tramite via messaggi o screenshot, vista la possibilità che un attacco pixnapping possa rubare le immagini visualizzate sul telefono. Un altro consiglio dato dagli esperti è quello di scaricare le applicazioni solo da fonti certificate, e non da siti non ufficiali o da altre fonti alternative, così come utilizzare software antivirus e attivare blocchi biometrici o pin, aumentando i passaggi per poter accedere ai propri dati sensibili.
Su alcuni temi riceviamo purtroppo con frequenza messaggi contenenti insulti e incitamento all'odio e, nonostante i nostri sforzi, non riusciamo a garantire un dialogo costruttivo. Per le stesse ragioni, disattiviamo i commenti anche negli articoli dedicati a decessi, crimini, processi e incidenti.
Il confronto con i nostri lettori rimane per noi fondamentale: è una parte centrale della nostra piattaforma. Per questo ci impegniamo a mantenere aperta la discussione ogni volta che è possibile.
Dipende anche da voi: con interventi rispettosi, costruttivi e cortesi, potete contribuire a mantenere un dialogo aperto, civile e utile per tutti. Non vediamo l'ora di ritrovarvi nella prossima sezione commenti!