🔎 Pixnapping — угроза Android: кража 2FA пиксель за пикселем Учёные описали атаку Pixnapping, которая позволяет обычным Android-приложениям без специальных разрешений похищать 2FA-коды, данные Google Maps и прочие секреты — пиксель за пикселем. Атака использует аппаратный побочный канал (GPU.zip) и Android API: вредоносное приложение подаёт пиксели жертвы в конвейер рендеринга, накладывает полупрозрачные активности и измеряет побочные эффекты графических операций. 2FA-код можно извлечь менее чем за 30 секунд. Тесты проводились на устройствах Google и Samsung (Android 13–16). Уязвимость отмечена как CVE-2025-48561; патчи включены в сентябрьский бюллетень, но найден обход, и часть векторов остаётся актуальной. Также возможен обход ограничения Android 11 по списку установленных приложений — этот канал помечен как «не будет исправлен». ⚠️ Действуйте: обновляйте систему, удаляйте ненадёжные приложения, используйте аппаратные ключи или push-2FA и следите за подозрительной активностью. Источник