Cos'è il Pixnapping e perché è un pericolo per la sicurezza di Android

In Sintesi

• Gli esperti di sicurezza hanno scoperto “Pixnapping”, una minaccia in grado di rubare dati sensibili dagli smartphone Android analizzando i singoli pixel sullo schermo.
• L’attacco è molto complesso e, al momento, ha una diffusione limitata. Per difendersi è consigliabile installare immediatamente gli aggiornamenti di sicurezza e scaricare app solo da fonti fidate.

C’è una nuova minaccia che sta mettendo in serio pericolo la sicurezza informatica globale e, questa volta, tutto parte da un’app Android. L’avvertimento arriva dagli esperti di cybersecurity delle università americane (tra cui la Carnegie Mellon, la UC Berkeley/UC San Diego e University of Washington) che hanno individuato questa nuova tipologia di attacco chiamata Pixnapping, che è in grado di rubare informazioni personali guardando i singoli pixel mostrati sullo schermo dello smartphone.

Come funziona l’attacco Pixnapping

Alla base del Pixnapping c’è un’idea semplice: osservare indizi fisici prodotti dal rendering grafico invece di “rompere” il codice dell’app bersaglio. In pratica gli aggressori non scattano più uno screenshot dello schermo ma riescono a ricostruisce e rubare informazioni sensibili semplicemente osservando in che modo l’hardware grafico elabora i singoli punti sullo schermo.

Per testare le reali capacità di questa nuova minaccia, i ricercatori hanno provato a rubare informazioni da alcuni degli smartphone più recenti sul mercato: i Google Pixel dalla serie 6 fino alla 9 e i Samsung Galaxy S25. Usando la tecnica del Pixnapping sono riusciti a recuperare informazioni sia da pagine web sia da app come Signal, Venmo, Google Maps e addirittura Google Authenticator.

In quest’ultimo caso, lo studio ha dimostrato come i codici 2FA possono essere recuperati in meno di 30 secondi dal momento in cui l’app maligna comincia l’osservazione, rappresentando un serio pericolo per la sicurezza di migliaia di account e servizi ritenuti sicuri proprio perché utilizzano l’autenticazione a due fattori.

Importante ricordare che questa particolare tipologia di attacco è molto complessa e richiede conoscenze approfondite dell’architettura grafica di Android e dell’hardware GPU, oltre a capacità di programmazione avanzate. Tuttavia il rischio pratico aumenta perché, una volta sviluppata, l’app Pixnapping può essere diffusa come software apparentemente innocuo e distribuita attraverso canali tradizionali o tramite APK malevoli.

Cosa si rischia e come difendersi da questo attacco

Da quello che sappiamo i ricercatori hanno notificato la cosa a Google e Samsung all’inizio del 2025; a oggi Google ha rilasciato una correzione parziale per mitigare l’attacco, ma serve comunque un fix più completo che l’azienda ha promesso per le prossime patch di sicurezza

Anche Samsung ha collaborato alle verifiche e agli aggiornamenti, collaborando con Google per implementare nuove contromisure. È importante sottolineare che altri dispositivi Android potrebbero risultare vulnerabili, a seconda della versione del sistema operativo e del kernel grafico in uso.

Per quanto riguarda il rischio per gli utenti, vista la complessità dell’attacco, al momento la diffusione di massa è ancora limitata; tuttavia non si esclude che, date le potenzialità della minaccia, i cybercriminali possano iniziare lo sviluppo massivo di app infette.

A oggi, per difendersi dal Pixnapping, l’unica cosa da fare è installare gli aggiornamenti di sicurezza rilasciati da Google e Samsung non appena disponibili e, al solito, scaricare app solo da fonti affidabili, evitando se possibile APK sconosciuti.

Utile anche controllare permessi e attività in background, rimuovendo le autorizzazioni non necessarie e chiudendo le app non utilizzate. Consigliabile anche mantenere Play Protect attivo e, nel caso, considerare l’utilizzo di un sistema anti-malware aggiornato in tempo reale.

Infine, per chi gestisce “account sensibili” e consigliabile rivedere le opzioni per l’autenticazione a due fattori, spostando la seconda fase dell’autenticazione fuori dallo smartphone, optando magari per token hardware.