แฮกเกอร์โชว์วิธีใหม่ 'Pixnapping' ขโมยรหัส 2FA จากจอ Android ใน 30 วินาที

ทีมนักวิจัยความปลอดภัยได้เปิดเผยเทคนิคการโจมตีแบบใหม่บนระบบ Android ในชื่อ 'Pixnapping' ที่สามารถแอบขโมยข้อมูลที่แสดงผลบนหน้าจอได้แบบเนียน ๆ ไม่ว่าจะเป็นรหัส 2FA, ข้อความแชต, หรือแม้แต่ข้อมูลตำแหน่งที่ตั้ง โดยใช้เวลาไม่ถึง 30 วินาที การโจมตีนี้อาศัยให้เหยื่อติดตั้งแอปพลิเคชันอันตรายลงบนเครื่อง ซึ่งน่ากลัวตรงที่ไม่ต้องขอสิทธิ์เข้าถึงระบบ (Permission) ใด ๆ เลย

หลักการทำงานของ Pixnapping นั้นเรียกได้ว่าฉลาดแกมโกง คล้ายกับการ 'แอบถ่ายสกรีนช็อต' ทีละพิกเซล เมื่อแอปฯ อันตรายทำงาน มันจะใช้ API ของ Android ไปกระตุ้นให้แอปฯ เป้าหมาย (เช่น Google Authenticator) แสดงข้อมูลสำคัญขึ้นมาบนหน้าจอ จากนั้นมันจะทำการวัดเวลาที่ GPU ใช้ในการประมวลผล (Render) สีของแต่ละพิกเซลบนหน้าจอ ซึ่งเป็นช่องโหว่ประเภท Side-channel Attack ทำให้แอปฯ โจรสามารถแยกแยะได้ว่าพิกเซล ณ ตำแหน่งนั้น ๆ เป็นสีอะไร และค่อย ๆ ประกอบร่างกลับมาเป็นข้อมูลที่ต้องการได้สำเร็จ

ที่น่าสนใจคือ เทคนิคนี้เคยถูกค้นพบมาแล้วในการโจมตีที่ชื่อ GPU.zip เมื่อปี 2023 แต่ครั้งนั้นเป็นการโจมตีผ่านเบราว์เซอร์ ส่วน Pixnapping เป็นการยกระดับมาโจมตีบนแอปฯ ใน Android โดยตรง ซึ่งทีมนักวิจัยได้ทดลองโจมตีบนมือถือ Google Pixel และ Samsung Galaxy S25 และพบว่าสามารถขโมยรหัส 2FA 6 หลักจาก Google Authenticator บนเครื่อง Pixel ได้สำเร็จภายใน 30 วินาที ด้วยความแม่นยำที่แตกต่างกันไปในแต่ละรุ่น (เช่น Pixel 6 สำเร็จ 73% ใช้เวลาเฉลี่ย 14.3 วินาที) แต่ยังไม่สามารถทำได้บน Galaxy S25 ภายในเวลาที่กำหนด

ทางด้าน Google ก็ไม่ได้นิ่งนอนใจ โดยระบุว่าได้ออกแพตช์เพื่อบรรเทาปัญหานี้ไปแล้วในอัปเดตความปลอดภัยเดือนกันยายน และกำลังจะออกแพตช์เพิ่มเติมในเดือนธันวาคม พร้อมยืนยันว่ายังไม่พบหลักฐานการโจมตีด้วยวิธีนี้ในสถานการณ์จริง อย่างไรก็ตาม ทีมนักวิจัยแย้งว่าการโจมตีเวอร์ชันดัดแปลงยังคงใช้งานได้แม้จะติดตั้งอัปเดตแล้วก็ตาม

แม้การโจมตีแบบ Pixnapping จะดูซับซ้อนและต้องอาศัยเงื่อนไขหลายอย่าง แต่ก็เป็นเครื่องเตือนใจชั้นดีว่า ระบบความปลอดภัยที่ดูแน่นหนาของ Android ก็ยังมีช่องให้เจาะได้เสมอ... แค่รอให้มีคนเก่งพอจะหามันเจอก็เท่านั้นเอง