Pixnapping ruba i codici per i login sicuri, smartphone Android a rischio

Una nuova e insidiosa minaccia informatica, battezzata Pixnapping, sta mettendo a rischio la sicurezza di milioni di dispositivi Android.

Scoperta da un team di ricercatori universitari statunitensi, questa tecnica di attacco è in grado di sottrarre dati sensibili direttamente dallo schermo, inclusi i codici di autenticazione a due fattori (2FA), messaggi privati e email, mettendo in crisi le fondamenta della sicurezza digitale moderna.

Pixnapping, cos’è e come funziona?

La vulnerabilità, descritta in un nuovo studio accademico, consente a un’applicazione malevola di “fotografare” il contenuto visualizzato sullo schermo di un’altra app, senza che l’utente se ne accorga e senza richiedere permessi speciali.

A differenza di altri malware, che necessitano di autorizzazioni esplicite per accedere a contatti o file, il Pixnapping opera in modo più subdolo: una volta che la vittima ha installato un’app infetta, l’attacco può essere sferrato.

“Tutto ciò che è visibile quando l’app bersaglio è aperta può essere rubato“, si legge sul sito informativo creato dai ricercatori. “Messaggi di chat, codici 2FA, email, ecc. sono tutti vulnerabili poiché sono visibili“. Concettualmente, è come se l’app malevola scattasse uno screenshot segreto dello schermo, a cui non dovrebbe avere accesso.

Il meccanismo alla base del Pixnapping è tecnicamente sofisticato. L’app malevola sfrutta una debolezza nel sistema “Intent” di Android, che gestisce la comunicazione tra le applicazioni.

Utilizzando un leak di dati non intenzionale, noto come hardware side channel, l’attacco accede ai singoli pixel visualizzati sullo schermo. Questi pixel vengono poi spinti attraverso il processo di rendering grafico, dove vengono analizzati fino a quando non è possibile applicare una tecnologia di Riconoscimento Ottico dei Caratteri (OCR) per estrarre il testo dalle immagini.

In pochi secondi, qualsiasi testo visualizzato sullo schermo può essere catturato e inviato agli hacker.

L’unica limitazione è che l’attacco non può rubare informazioni che non sono visivamente presenti, come le password nascoste da asterischi.

La scoperta e i dispositivi interessati

La ricerca è frutto della collaborazione di sette accademici dell’University of California (Berkeley e San Diego), dell’University of Washington e della Carnegie Mellon University. I risultati saranno presentati questa settimana alla 32esima ACM Conference on Computer and Communications Security a Taiwan.

I test condotti dal team hanno confermato la vulnerabilità su un’ampia gamma di dispositivi di punta, inclusi i Google Pixel dal 6 al 9 e il Samsung Galaxy S25, con a bordo diverse versioni del sistema operativo, da Android 13 fino ad Android 16.

L’attacco è in grado di compromettere anche app considerate estremamente sicure, come Signal o Google Authenticator, proprio perché il suo obiettivo non è l’app stessa, ma ciò che essa mostra sullo schermo.

La risposta di Google

Il team di cybersecurity ha informato Google della falla a febbraio 2025. In risposta, l’azienda ha rilasciato una prima patch correttiva nel bollettino di sicurezza di settembre. Tuttavia, i ricercatori hanno scoperto in pochi giorni un modo per aggirare questa prima difesa (identificato con il codice CVE-2025-48561) e hanno nuovamente avvisato Google.

Google ha confermato che un’ulteriore e più completa patch sarà rilasciata con le patch di dicembre. Un portavoce dell’azienda ha inoltre dichiarato che, al momento, non ci sono prove che questa vulnerabilità sia stata sfruttata attivamente in attacchi reali.

Sebbene la mancanza di attacchi noti sia una notizia rassicurante, la scoperta del Pixnapping solleva serie preoccupazioni sulla sicurezza dell’ecosistema Android.

Gli utenti sono invitati a scaricare applicazioni solo da fonti attendibili e a installare gli aggiornamenti di sicurezza non appena saranno disponibili, in particolare quello previsto per dicembre, per proteggersi da questa nuova e potente minaccia.