Новый недостаток Android позволяет злонамеренным приложениям украсть 2FA коды и сообщения через атаку времени GPU, воздействующую на большинство устройств, несмотря на частичную фиксацию. A new Android flaw lets malicious apps steal 2FA codes and messages via GPU timing attacks, affecting most devices despite a partial fix.

Недавно обнаруженная уязвимость Андроида под названием "Pixnaping", отслеживаемая как CVE-2025-48561, позволяет злонамеренным приложениям красть чувствительные данные на экране, как двухфакторные аутентификационные коды и частные сообщения, используя боковую атаки, которая использует время GPU. A newly discovered Android vulnerability called "Pixnapping," tracked as CVE-2025-48561, allows malicious apps to steal sensitive on-screen data like two-factor authentication codes and private messages using a side-channel attack that exploits GPU timing. Исследователи из UC Berkeley, UC San Diego, Washington University, и Carnegie Mellon продемонстрировали, что этот недостаток влияет почти на все современные устройства Андроида, включая модели Pixel и Samsung, и могут извлечь 2FA коды менее чем за 30 секунд. Researchers from UC Berkeley, UC San Diego, the University of Washington, and Carnegie Mellon demonstrated the flaw affects nearly all modern Android devices, including Pixel and Samsung flagship models, and can extract 2FA codes in under 30 seconds. Нападение манипулирует законными приложениями для показа контента, а затем реконструирует его с помощью анализа времени пикселя без согласия пользователя. The attack tricks legitimate apps into displaying content, then reconstructs it via pixel-level timing analysis without user consent. Google выпустил частичное исправление в сентябрьском обновлении, но исследователи подтверждают, что эксплойт может обойти его, а полный патч ожидается в декабре. Google has released a partial fix in the September update, but researchers confirm the exploit can bypass it, with a full patch expected in December. По состоянию на 14 октября 2025 года не было обнаружено каких-либо свидетельств использования в реальном мире. No evidence of real-world use has been found as of October 14, 2025. Пользователям рекомендуется обновлять устройства и избегать неподтвержденных приложений. Users are advised to keep devices updated and avoid untrusted apps.