Una grave falla di sicurezza chiamata Pixnapping consente a malware Android di rubare codici 2FA, messaggi e altri dati visualizzati sullo schermo. Questo attacco può agire senza permessi particolari, sfruttando vulnerabilità nei processi grafici del sistema, e colpisce soprattutto dispositivi Google e Samsung con Android 13-16. Anche con le patch rilasciate, alcune varianti dell’attacco rimangono possibili. Per ridurre al minimo i rischi, evita di installare app sconosciute, aggiornate subito il vostro dispositivo Android, usate metodi di autenticazione addizionali, e monitorate regolarmente le app installate.
Cos’è Pixnapping e perché cambia le regole della sicurezza Android
La sicurezza degli smartphone si basa sul presupposto che le informazioni mostrate da un’applicazione siano isolate da quelle di altre app e che nessuna app possa “vedere” ciò che accade in un’altra, specialmente senza permessi speciali come l’accesso allo schermo. La nuova minaccia denominata Pixnapping sovverte questo principio: un’app dannosa può estrarre, pixel dopo pixel, ciò che viene visualizzato da altre app – inclusi i codici di autenticazione a due fattori (2FA) essenziali per proteggere accessi bancari, account email e social network.
Il nome deriva dall’abilità dell’attacco di “rapire” i pixel visualizzati da app target sfruttando side-channel hardware e API Android, senza necessità di permessi avanzati o autorizzazioni esplicite. In alcuni casi sono sufficienti meno di 30 secondi per sottrarre un codice 2FA, rendendo questo attacco tra i più subdoli e pericolosi mai rilevati su Android.
Come funziona Pixnapping: in parole semplici
Pixnapping agisce attraverso tre fasi principali:
- Invocazione dell’app target:
L’app malevola utilizza le API Android per indurre l’apertura dell’app da cui vuole rubare informazioni, ad esempio Google Authenticator, Gmail o app di messaggistica. Non vengono richieste autorizzazioni strane, così l’utente non sospetta nulla. - Operazioni sui pixel sensibili:
Attraverso una serie di attività semitrasparenti (finestre) e operazioni grafiche sulla pipeline di rendering Android, l’app malevola isola i pixel relativi all’informazione target (ad esempio dove viene mostrato il codice 2FA). - Estrazione tramite side-channel (GPU.zip):
Utilizzando un canale laterale del processore grafico (GPU), l’app misura i tempi di rendering dei singoli pixel per dedurre se un determinato pixel è bianco o colorato (come quelli che compongono un numero o una lettera del codice). La ricostruzione dell’informazione avviene pixel per pixel e può essere completata con strumenti di riconoscimento ottico dei caratteri.
Dispositivi e versioni Android coinvolte
I ricercatori hanno realizzato test su diversi smartphone Google Pixel (dalla versione 6 alla 9) e Samsung Galaxy S25 con Android 13, 14, 15 e 16. Tuttavia, il meccanismo alla base è così basilare che potrebbe funzionare su un numero ancora più ampio di dispositivi Android, a seconda delle API e del supporto hardware per i processi grafici. Non esiste, al momento, una lista completa degli smartphone vulnerabili, ma è altamente probabile che il problema non sia limitato a poche marche.
Perché Pixnapping è particolarmente insidioso
- Non servono permessi speciali: Le app malevole possono agire senza richiedere l’accesso alla fotocamera, microfono o altre funzioni sensibili.
- Aggira le difese del sistema: La tecnica non si basa su screenshot “classici” o exploit noti, ma sfrutta la complessità della pipeline grafica, un’area raramente monitorata dai tool di sicurezza.
- Colpisce dati critici: I codici 2FA sono solo la punta dell’iceberg: messaggi privati, email, indicazioni dalla timeline di Google Maps, dati finanziari e conversazioni sono potenzialmente vulnerabili.
- Difficile da rilevare: L’attacco non genera segnali o notifiche visibili; per l’utente tutto appare normale, a meno di controlli molto specifici.
Dettagli tecnici: come “rubano” i pixel
Per i più attenti alla tecnologia, il cuore dell’attacco è lo sfruttamento di una “discrepanza di tempo” tra operazioni grafiche eseguite su pixel bianchi e su pixel colorati. L’app malevola crea attività semitrasparenti che costringono il sistema a processare specifici pixel del target, misurando il tempo di elaborazione per dedurre i valori RGB.
A questo punto, tramite una scansione “pixel by pixel”, viene ricostruita la sequenza dei numeri o lettere visualizzate dall’app di destinazione, ad esempio Google Authenticator. I dati possono essere raccolti così senza bisogno di permessi o notifiche sullo schermo.
Patch e risposte del settore
A seguito della scoperta, Google ha rilasciato due patch (CVE-2025-48561) – la prima a settembre e la seconda annunciata per dicembre. La correzione finora limita in parte il comportamento dell’attacco, ma i ricercatori avvertono che versioni modificate di Pixnapping sono ancora funzionanti anche sui dispositivi aggiornati.
Non risultano al momento casi noti di exploit in circolazione, ma la rapidità con cui attacchi simili vengono “industrializzati” fa temere un’ampia diffusione nel breve periodo.
Cosa fare subito: consigli semplici per tutti
Consigli/azioni facili e subito utili:
- Aggiornate Android all’ultima versione: Controllate frequentemente la disponibilità di aggiornamenti di sicurezza e installateli appena disponibili.
- Evitate di installare app sconosciute o non affidabili: Scaricate solo da Google Play Store o da fonti certificate.
- Monitorate le app installate e i permessi concessi: Disinstallate immediatamente app sospette o che non usate più.
- Utilizzate metodi di autenticazione addizionali: Non affidate la sicurezza solo ai codici 2FA visualizzati sullo schermo; preferite token hardware o app dedicate con livello di protezione avanzato.
Implicazioni su privacy e sicurezza aziendale
Per aziende e professionisti la tecnologia Pixnapping pone rischi strategici, in quanto molte procedure di autenticazione e accesso sono veicolate da codici temporanei visualizzati su smartphone. La compromissione dei dispositivi mobili può innescare attacchi di phishing avanzato, truffe bancarie e danni reputazionali in caso di furto massivo di dati.
La somiglianza di Pixnapping ad altri attacchi side-channel, come GPU.zip, evidenzia una nuova categoria di minacce che colpisce direttamente le fondamenta della sicurezza informatica, sfruttando fragilità hardware e software difficilmente sanabili solo con aggiornamenti software.
Chi sono i ricercatori e cosa c’è dietro la scoperta
Il lavoro di scoperta di Pixnapping è opera di team universitari statunitensi specializzati in sicurezza hardware e software, tra cui ricercatori di UC Berkeley, UC San Diego, Carnegie Mellon University e University of Washington. La pubblicazione è recentissima, datata 13 ottobre 2025, e descrive sia test di laboratorio sia l’impatto su dispositivi e servizi reali.
Prospettive future: cosa aspettarsi e come evolverà la minaccia
Il fatto che Google sia intervenuta rapidamente indica una forte consapevolezza del rischio. Tuttavia, l’architettura della pipeline grafica Android – necessaria per far “girare” app anche complesse – resterà vulnerabile fino a una revisione strutturale del sistema operativo. Nel frattempo, è prevedibile che malware evoluti cerchino di sfruttare varianti di Pixnapping e attacchi simili, diffondendosi tramite campagne di phishing e installazione di app fraudolente.
Consigli/azioni per utenti esperti e aziende:
1. Segmentate gli ambienti di lavoro e uso personale:
Non utilizzate lo stesso device per accessi critici aziendali e personali; preferite dispositivi dedicati per attività ad alto rischio.
2. Monitorate i log di sistema e network:
Implementate sistemi di rilevamento delle anomalie grafiche e analizzate i tempi di rendering e accessi atipici tra app.
3. Preferite token hardware e autenticazione biometrica:
Riducono drasticamente la possibilità che un codice 2FA venga intercettato “a vista” da malware.
4. Aggiornate policy aziendali e formazione interna:
Formate periodicamente utenti e dipendenti sui rischi delle nuove tecniche di attacco, riducendo la probabilità di installazione accidentale di app malevole.
5. Valutate soluzioni di Mobile Device Management (MDM):
Un MDM aggiornato consente di bloccare app non certificate, gestire accessi e monitorare tentativi di attacco in tempo reale.
6. Segnalate tempestivamente anomalie:
Qualsiasi comportamento strano durante la visualizzazione di codici o messaggi sensibili va riportato agli amministratori IT.
La scoperta di Pixnapping segna un nuovo capitolo nei rischi della sicurezza mobile, richiedendo strategie più avanzate e una maggiore attenzione sia da utenti che da aziende. Non sottovalutate le minacce invisibili: la protezione parte sempre da una buona informazione e dal controllo consapevole degli strumenti digitali.
