“La chiave è la consapevolezza dei rischi, l’adozione di sistemi anti-phishing evoluti e di piattaforme di sicurezza progettate per il mobile”, ha commentato Diego Fasano, Ceo di Ermetix.
Con un attacco ‘Pixnapping‘ ai cyber criminali bastano trenta secondi per attaccare ed esfiltare i dati da un dispositivo Android, partendo dall’istallazione dell’applicazione dannosa. Applicazione che ruba le informazioni, partendo dalla fotografia delle schermate.
Google è dovuta correre ai ripari, comunicando che rilascerà degli aggiornamenti per risolvere il bug. L’applicazione malevola esegue operazioni grafiche sui singoli pixel di interesse per l’autore dell’attacco. Il pixnapping sfrutta quindi un canale laterale che consente al sistema di mappare i pixel in quelle coordinate su lettere, numeri o forme.
Quali sono i cellulari più vulnerabili?
Dalle prime analisi è emerso come l’oggetto delle attenzioni siano in particolare, “messaggi, codici di autenticazione a due fattori, posta elettronica“. Sono tutti “dati vulnerabili perché visibili“.
Rispetto ai vari dispositivi sotto attacco, l’operatività di pixnapping ha interessato soprattutto i telefoni a marchio Google Pixel e il Samsung Galaxy S25. Tuttavia, “probabilmente potrebbe essere modificato per funzionare su altri modelli“. Da qui, visti anche alcuni precedenti, la necessità di risposte pronte e di rilievo.
Le risposte di Google
Google, sviluppatore di Android, ha rilasciato il mese scorso un aggiornamento software per risolvere la vulnerabilità. I responsabili tecnici della società hanno nel contempo illustrato la possibilità di impiegare la base di pixnapping per creare una versione che funzioni anche su smartphone o tablet aggiornati.
Tecnicamente, l’attacco sfrutta i singoli pixel grafici nelle app di interesse, captandoli e ricostruendoli successivamente per ricreare l’immagine sottratta. Un modo, secondo l’analisi, per ingannare le misure di sicurezza di Android e replicare la classica cattura di uno screenshot.
Diego Fasano (Ceo di Ermetix): “Tecnica complessa, servono piattaforme di sicurezza progettate per il mobile”
“È un attacco che richiede competenze avanzate: non è il tipo di vulnerabilità che si trova per caso o con tecniche fuzzy. Non dipende da una singola release di Android, ma attraversa più versioni, un sottoinsieme complesso che richiede lavoro specialistico per essere individuato”, ha commentato a Cybersecurity Italia Diego Fasano, CEO di Ermetix.
“Dietro la scoperta di uno zero-day di questo tipo ci sono persone che sanno esattamente cosa stanno cercando. La tecnica sfruttata è significativa perché mette a nudo una falla nel kernel che crea uno strato d’interfaccia trasparente sovrapponibile alle app, capace di intercettare o deviare gli input dell’utente”, ha aggiunto.
“La vulnerabilità identificata é stata codificata come CVE-2025-48561 e la relativa patch é in fase di rilascio. La prima azione è cercarla e installarla subito. L’origine dell’incidente è però chiara: la catena d’attacco parte da un’app malevola installata sul dispositivo, spesso introdotta tramite tecniche di phishing. Il consiglio resta quello di sempre: utilizzare sistemi di rilevamento del phishing, attivare avvisi sulle installazioni sospette e dotarsi di soluzioni di sicurezza mobile realmente consolidate“.
Fasano ha spiegato anche quali azioni compiere per difendersi da questi attacchi. “È un’evoluzione micro ma sistemica, che obbliga a cambiare approccio alla sicurezza. Per difendersi da minacce di questo tipo servono protezioni a bordo del device, non soluzioni perimetrali o cloud-based. Occorrono piattaforme pensate specificamente per l’ambiente mobile, capaci di comprendere e reagire alle logiche interne del sistema operativo. Portare sul mobile tecnologie nate per il mondo desktop è inefficace: queste minacce sfruttano meccanismi propri del sistema operativo mobile. La chiave è la consapevolezza dei rischi, l’adozione di sistemi anti-phishing evoluti e di piattaforme di sicurezza progettate per il mobile”, ha concluso.
