هجوم "Pixnapping": ثغرة خطيرة تسرق بياناتك الحساسة كالشعرة من العجين!
منذ أيام، كشف باحثون من جامعات أمريكية مرموقة عن نوع جديد من الهجمات الإلكترونية يُعرف باسم Pixnapping، يمكنه التسلل إلى هواتف الأندرويد وسرقة أي معلومة تظهر على الشاشة، بما في ذلك رموز المصادقة الثنائية 2FA، والرسائل الشخصية، وبيانات الحسابات البنكية، دون أن يلاحظ المستخدم أي شيء غير طبيعي.
كيف تعمل هذه الهجمات؟
بحسب الباحثين، فإن الهجوم يستغل واجهة برمجة التطبيقات API ويهاجم الضحية عبر "قناةٍ جانبية Hardware Side Channel" لاستخراج المعلومات التي يريدها دون الحاجة لأي صلاحية أو إذن.
و"الهجوم عبر القناة الجانبية Hardware Side Channel" هي طريقة غير مباشرة لاستخلاص معلومات سرية من جهاز ما عبر قياس خصائص فيزيائية مثل انبعاثات الأمواج الكهرومغناطيسية، ثم تحويلها إلى دلائل تساعد المخترق على تخمين ما يظهر على الشاشة.
بصيغة أبسط، تكمن خطورة Pixnapping في أنه يمكن لأي تطبيق عادي -حتى بدون أذونات حساسة- أن يُفعل الهجوم. فبمجرد أن يفتح المستخدم تطبيقًا يحتوي على معلومات حساسة مثل Google Authenticator أو Gmail، يمكن للمخترق التقاط البيانات المعروضة على الشاشة "بيكسل ببيكسل" (لهذا تُسمى الثغرة Pixnapping؛ اختصار لـ "اختطاف البيكسلات")، ثم إعادة تركيبها عبر خوارزميات التعرف البصري لاستخراج النصوص أو الرموز. (الطريقة مشروحة بالفيديو على موقع الثغرة الرسمي).
كالشعرة من العجين!
الباحثون أظهروا أن الهجوم قادر على سرقة رموز التحقق الثنائية من تطبيق Google Authenticator في أقل من 30 ثانية، دون أن يشعر المستخدم بوجود أي نشاط مريب. كما أثبتت التجارب نجاح الهجوم على عدة أجهزة، من بينها Google Pixel 6 و7 و8 و9 إضافة إلى Samsung Galaxy S25، العاملة بإصدارات أندرويد من 13 إلى 16.
رد فعل Google ومحاولات احتواء الثغرة
تم إبلاغ Google بالثغرة لأول مرة في فبراير 2025، حيث صنّفتها الشركة كـ "عالية الخطورة" وأصدرت تحديثًا أمنيًا في سبتمبر لإغلاقها. إلا أن الباحثين اكتشفوا لاحقًا طريقة للالتفاف على التصحيح وإعادة تفعيل الهجوم، وهو ما جعل Google تُقرّ في تصريحاتها لموقع The Register بأنها ستطرح تصحيحًا إضافيًا في نشرة الأمان المقررة لشهر ديسمبر 2025.
ورغم محاولة Google الحد من استغلال الثغرة عبر تقييد عدد الأنشطة (Activities) التي يمكن للتطبيق تشغيل خاصية "التمويه البصري" عليها، فإن الباحثين نجحوا في تجاوز هذا القيد، ليبقى الخلل فعالًا حتى الآن.
بانتظار تصحيح Google الإضافي وحل الثغرة، حتى ذلك الحين، لا يوجد حل نهائي أو جذري للأسف!
