グーグルは、AuthenticatorやSignalなど、一般的に安全とされているアプリからデータを盗むことが可能な新しい手法「ピクスナッピング」による脆弱性について認識していると発表しました。この脆弱性は、複数のグーグルPixelデバイスモデルやサムスンGalaxyデバイスに影響を及ぼしているということです。
The Registerの報告によれば、グーグルは最近発生したこの脆弱性に対し、部分的な修正を行ったとしています。このセキュリティの欠陥は、Androidのいくつかの弱点を悪用するもので、悪意のあるアプリがAndroid Intentシステムを利用して機密情報を要求し、ターゲットアプリのレンダリングを使用して透明なスクリーンを重ね、ユーザーに見えない形で情報を取得することが可能です。取得された情報は、GPU.zipなどの脆弱性を利用してサイドチャネル経由で引き出されるということです。
「ピクスナッピング」の研究チームは7人の研究者で構成されており、Pixel 9、Pixel 8、Pixel 7を含む複数のグーグルPixelフォンでこの脆弱性を引き起こすことができたとしています。また、サムスンGalaxy S25でも同様の事象を引き起こすことができたということです。
研究チームのタイムラインによれば、グーグルは2025年2月に通知を受けたとしています。それ以来、グーグルはパッチをリリースし、9月のセキュリティアップデートで展開したということです。これは、グーグルがこの脅威を高優先度として見ていることを示しています。
研究チームは、まだ行うべき作業があると指摘しています。最近のセキュリティパッチに対する回避策が通知されており、CVE-2025-48561の脆弱性を引き起こすことができるということです。この回避策は、グーグルやチームによって開示されておらず、現在のセキュリティアップデートでは修正されていません。
グーグルは、この脆弱性に対する追加のパッチを12月のセキュリティアップデートで提供する方針です。また、「in-the-wild」の事例は知られていないと述べています。