Il mondo Android è nuovamente scosso da una minaccia invisibile all’occhio umano e anche assente dal radar dell’antivirus. Non sfrutta un malware classico, ma un metodo laterale in grado di eludere le difese più comuni. Questa minaccia risponde al nome di Pixnapping e si tratta di una tecnica sofisticata, che consente di rubare informazioni dallo schermo di uno smartphone Android, sfruttando solo la lettura dei pixel visualizzati.
Una vulnerabilità del sistema Android permette a malintenzionati o app malevole di analizzare ciò che l’utente vede sullo schermo e ricostruirlo in tempo reale. Ciò permette il furto di codici OTP, messaggi, credenziali, QR code, notifiche e schermate sensibili. Un attacco passivo, ma micidiale, che colpisce l’anello più fragile del sistema: la fiducia nell’interfaccia grafica.
Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.
Cos’è Pixnapping
Pixnapping è un attacco di tipo pixel stealing pensato per dispositivi Android, che consente a un’app malevola di registrare visivamente ciò che accade sullo schermo, pur non avendo alcun tipo di permesso esplicito per farlo. Il termine nasce dalla fusione tra pixel e kidnapping, per descrivere il furto silenzioso delle informazioni visive mostrate al display. A differenza di uno spyware classico, non intercetta dati attraverso accessi ai file o alla rete, ma analizza direttamente la resa grafica del contenuto.
Scoperto originariamente il 24 febbraio 2025 da un gruppo di ricercatori accademici delle Università di Berkeley, Washington e San Diego, ha ricevuto una classificazione da parte di Google solo il 25 giugno 2025. Pixnapping è balzato agli onori della cronaca il 14 ottobre scorso, quando è stato corredato sia di un proof-of-concept funzionante, che di casi d’uso reali perfettamente documentati.
L’attacco interessa le versioni di Android dalla 13 alla 16, i dispositivi Google Pixel (fino al Pixel 8) e alcuni smartphone Samsung.
L’attacco sfrutta una vulnerabilità del sistema operativo che permette di accedere indirettamente al buffer grafico di rendering, consentendo di determinare quali pixel vengono visualizzati in un dato momento. Così facendo, un’app camuffata da innocua può monitorare l’attività dell’utente e ricostruire codici OTP, QR code, credenziali o messaggi temporanei visualizzati sul display. Il tutto senza mai chiedere autorizzazioni visibili e senza generare alert di sicurezza.
Ma Pixnapping non si comporta come una tradizionale tecnica di screen recording o screen scraping, ma applica logiche di timing attack e side-channel analysis. Questo basandosi solo ed esclusivamente su come il sistema gestisce la composizione degli elementi visivi sullo schermo. Il risultato è un attacco praticamente invisibile, in grado di compromettere uno dei canali di comunicazione più sensibili dell’intero sistema: l’interfaccia utente.
Come funziona Pixnapping
Pixnapping sfrutta un meccanismo interno al sistema di rendering di Android, noto come Skia. Questo è il motore grafico che gestisce la visualizzazione degli elementi sullo schermo. Un’app malevola può interrogare il sistema in modo indiretto, misurando il tempo impiegato per ridisegnare determinati contenuti e analizzando le differenze nei pattern dei pixel. Da lì, attraverso modelli statistici, si possono dedurre colori, forme e porzioni di testo, anche in presenza di contenuti protetti.
L’interazione tra l’app e il sistema avviene senza permessi speciali, in quanto Pixnapping non registra direttamente lo schermo, ma analizza ciò che il sistema sta renderizzando in background. Ecco perché si ribadisce che si tratta di un attacco invisibile, in quanto non attiva API sospette, né genera traffico anomalo. Basta un’app apparentemente innocua, installata volontariamente dall’utente, per avviare il furto silenzioso dei dati visivi.
Il cuore dell’attacco è l’analisi dei tempi di disegno: i cosiddetti timing attack. Misurando quanto impiega il sistema a disegnare determinate regioni dello schermo, si può dedurre cosa vi sia mostrato. Ogni interfaccia, testo o codice ha un pattern di rendering unico e questo consente agli attaccanti di ricostruire fedelmente ciò che l’utente sta vedendo, anche se il contenuto non è accessibile via API.
Casi d’uso e dati compromessi
Le simulazioni condotte dai ricercatori accademici hanno dimostrato che Pixnapping è in grado di sottrarre dati visivi da app bancarie, gestori password, Telegram, WhatsApp e portali sanitari. Tra i bersagli testati con successo rientrano le schermate di Google Authenticator, Microsoft Authenticator e app MFA aziendali. Le stime indicano che si è riusciti a sottrarre dati sensibili in circa 1,2 secondi.
Uno degli aspetti più inquietanti è la sua capacità di operare in background. L’utente può usare normalmente il dispositivo, ignaro del fatto che ogni schermata visualizzata viene analizzata e trasmessa. Nei test condotti, il Pixnapping è riuscito a identificare codici OTP di 6 cifre con un’accuratezza superiore all’80%, senza dover accedere ad alcun file o API di sistema. Nessun antivirus ha nemmeno rilevato l’anomalia nei test noti.
Rischi per utenti e aziende
Per gli utenti privati, il rischio più immediato è la compromissione delle credenziali temporanee. Questo tipo di furto permette accessi non autorizzati anche in presenza di autenticazione a più fattori. In pratica, Pixnapping bypassa la protezione visiva senza toccare i sistemi di backend.
Per le aziende, il problema è ancora più serio. In contesti in cui la mobile security è delegata all’utente finale e il secondo fattore viene gestito tramite app sullo smartphone personale, Pixnapping introduce una vulnerabilità critica. Le sessioni di accesso a VPN, console cloud, gestionali o ambienti DevOps possono essere compromesse da un solo screenshot virtuale, senza lasciare tracce.
Il rischio maggiore è che Pixnapping non venga rilevato fino a compromissione avvenuta, dato che non scrive file, non intercetta traffico di rete e non viola policy evidenti. La responsabilità ricade quindi sull’adozione di politiche di sicurezza più rigide, come l’uso di token fisici, autenticazione biometrica dedicata o containerizzazione delle app sensibili.
Come difendersi da Pixnapping
Gli attacchi come Pixnapping evidenziano i limiti del modello di sicurezza basato esclusivamente sui permessi. Alla luce di quanto detto, sono riportati alcuni consigli e misure di sicurezza da attuare per proteggersi da minacce simili.
- Monitorare l’attività grafica delle app installate. Così facendo, è possibile rilevare comportamenti anomali, come accessi prolungati a componenti di rendering senza giustificazione.
- Limitare l’uso di app di terze parti non verificate. Applicazioni installate da store alternativi, tramite APK esterni, o pubblicità, è il primo entry point per software malevolo in grado di mettere in atto Pixnapping.
- Disabilitare l’overlay di sistema. Questa operazione va estesa a tutte le funzioni che consentono a un’app di operare sopra altre, quando non strettamente necessario.
- Imporre l’uso di autenticazione su dispositivi separati. Un dispositivo privato non deve accedere a risorse critiche e nemmeno all’autenticazione MFA aziendale. Questo per evitare che fattori sensibili vengano visualizzati sullo stesso terminale utilizzato per il login.
- Applicare policy di contenitive e di sandboxing. In ambito produttivo e aziendale, le app di autenticazione e gli strumenti di lavoro devono essere isolate, in modo da impedire ad app malevole di analizzare schermate altrui.
- Bloccare l’installazione automatica di APK. Mediante MDM (Mobile Device Management) e i profili aziendali è possibile obbligare la validazione di ogni nuovo software prima del deploy.
- Aggiornare regolarmente il sistema operativo e i driver grafici. Poiché la vulnerabilità di Android interessa specifiche versioni, l’attacco potrà essere corretto definitivamente in una release futura del sistema operativo.
In conclusione
In base a quanto discusso, si evince che Pixnapping rappresenta una netta evoluzione nel panorama delle minacce mobile. Per le aziende, questa minaccia impone una revisione profonda delle policy di accesso remoto e dell’intera architettura di autenticazione. Affidarsi a dispositivi personali non monitorati per visualizzare fattori di autenticazione, espone inevitabilmente l’infrastruttura a compromissioni silenziose.
In attesa che Google intervenga direttamente con una patch aggiuntiva, prevista dall’Android Security Bulletin di dicembre, l’unica difesa concreta resta nella segmentazione, nella containerizzazione e nell’adozione di soluzioni MFA hardware-based.
- Autore articolo
- Gli ultimi articoli
Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.