Allarme Pixnapping: nuova tecnica per furto di 2FA e dati in meno di 30 secondi

Una nuova ombra si allunga sul panorama della sicurezza digitale dei dispositivi mobili: una tecnica d’attacco inedita, denominata Pixnapping, sta sollevando preoccupazioni tra utenti e aziende per la sua capacità di aggirare le barriere protettive dei sistemi Android. Questo metodo, che non richiede permessi speciali né sofisticate manovre di social engineering, è in grado di sottrarre codici di autenticazione a due fattori (2FA) e altre informazioni sensibili sfruttando una debolezza tanto insospettabile quanto pericolosa: la misurazione dei tempi di rendering dei pixel sullo schermo.

Il cuore della minaccia risiede nella sua invisibilità: un’app apparentemente innocua, priva di richieste sospette o permessi anomali, può insinuarsi nel sistema e osservare le dinamiche di visualizzazione delle informazioni. Analizzando con precisione i tempi di risposta della GPU durante la fase di rendering, l’app malevola riesce a distinguere i pixel bianchi da quelli occupati da caratteri, ricostruendo così le sequenze dei codici 2FA o altri dati riservati visualizzati sul display. La semplicità dell’attacco, che si consuma in pochi secondi, rende la minaccia particolarmente subdola: bastano infatti 30 secondi per compromettere la riservatezza delle informazioni, senza che l’utente possa sospettare alcunché.

Il meccanismo di Pixnapping: tre fasi per un attacco perfetto

L’operazione si articola in tre passaggi distinti ma sinergici. Inizialmente, l’applicazione dannosa stimola l’apertura dell’app target che contiene le informazioni da sottrarre. A questo punto si attiva la fase di analisi, in cui vengono cronometrati i tempi di risposta grafica di specifici pixel. È proprio questa finestra temporale a svelare la presenza di caratteri o aree vuote. Infine, i dati raccolti vengono aggregati nella fase di ricostruzione, che consente di ricomporre fedelmente l’immagine originale, spesso contenente codici di accesso temporanei o credenziali sensibili.

I ricercatori che hanno studiato la tecnica hanno rilevato come la vulnerabilità sia fortemente dipendente dal modello di dispositivo. Pixel 6 si è dimostrato particolarmente esposto, con un tasso di successo dell’attacco pari al 73% e un tempo medio di estrazione dei dati di soli 14,3 secondi.

Sul modello successivo, il Pixel 7, l’efficacia si è ridotta al 53% (25,8 secondi), mentre sul Pixel 8 è scesa al 29% (24,9 secondi). Curiosamente, il Pixel 9 ha visto risalire il tasso di successo al 53% (25,3 secondi). Diversa la situazione per il Samsung Galaxy S25, dove l’attacco è risultato inefficace a causa dell’elevato “rumore” nelle misurazioni, probabilmente dovuto a specifiche ottimizzazioni hardware o software del sistema grafico.

Risposte e contromisure: Google in prima linea

La risposta di Google non si è fatta attendere: alcune mitigazioni sono già state implementate con il bollettino di sicurezza di ottobre, collegate alla vulnerabilità identificata come CVE-2025-48561. Ulteriori patch sono previste per dicembre 2025. Tuttavia, la stessa azienda sottolinea che tali misure riducono, ma non eliminano del tutto, il rischio, soprattutto su dispositivi non aggiornati o con configurazioni particolari. La raccomandazione, dunque, è di non abbassare la guardia e mantenere alta l’attenzione sulla gestione degli aggiornamenti.

Gli esperti di sicurezza suggeriscono alcune pratiche fondamentali per ridurre il rischio di esposizione. In primo luogo, è essenziale mantenere il sistema operativo Android sempre aggiornato, così da beneficiare tempestivamente delle patch di sicurezza. È altrettanto importante evitare l’installazione di applicazioni da fonti non ufficiali, spesso veicolo di software malevolo. Laddove possibile, si consiglia di adottare metodi di autenticazione alternativi, come le chiavi hardware FIDO o autenticatori fisici, che offrono una barriera ulteriore contro il furto dei codici 2FA.