MisterFraud

Immagina che il tuo telefono stia lì, tranquillo, e che un’app apparentemente innocua — quella del gioco, del wallpaper carino o della torcia che non chiede nulla — stia in realtà guardando pixel del tuo schermo uno per uno. Sembra fantascienza? Si chiama Pixnapping e i ricercatori l’hanno già dimostrata su telefoni moderni, con esempi che fanno venire i brividi: dalle email a Gmail, fino ai codici 2FA di Google Authenticator.

In parole semplici

Pixnapping è una tecnica che permette a un’app Android di forzare la renderizzazione di singoli pixel appartenenti ad altre app e poi fiutare (sì, letteralmente) i cambiamenti tramite un side-channel hardware per ricostruire quei pixel e trasformarli in testo via OCR. Il risultato? Screenshot non autorizzati, ma presi un pixel alla volta. pixnapping.com

Quanto è pericoloso (spoiler: parecchio)

• I ricercatori hanno dimostrato che i codici 2FA di Google Authenticator possono essere rubati in meno di 30 secondi. Se usi solo codici su app come secondo fattore, è un campanello d’allarme.
• L’attacco è stato verificato su dispositivi popolari (Pixel 6/7/8/9 e Samsung Galaxy S25) con Android 13–16 testati dai ricercatori, ma i meccanismi sottostanti sono disponibili su molti device Android moderni: quindi è plausibile che il problema sia più ampio.
• Pixnapping è già catalogato come CVE (CVE-2025-48561) — quindi non è teoria da forum ma vulnerabilità con nome e cognome.

Chi può sfruttarlo

Qualsiasi app in esecuzione sul telefono: non servono permessi speciali dichiarati nel manifest. In pratica, basta che l’app giri — e l’attacco può essere montato anche da un’app che non chiede nulla, cosa che rende il problema molto subdolo.

Cosa può succedere nella vita reale

• Furto di codici 2FA → accesso a email, conti, wallet.
• Furto di messaggi e informazioni sensibili mostrati sullo schermo (chat, OTP, dettagli bancari).
• Profilazione dell’utente (app installate, comportamento, ecc.) attraverso altri vettori correlati scoperti nello studio.

Cosa fare subito (consigli pratici)

1. Aggiorna Android appena arriva la patch. Il consiglio più banale ma più efficace: installa gli aggiornamenti di sicurezza e gli update del produttore non appena disponibili. I ricercatori e Google sono già nella partita (timeline di patch e workaround è pubblica).
2. Usa metodi 2FA più sicuri dove possibile. Se puoi, preferisci chiavi hardware (security key) o notifiche push ufficiali (che verificano l’origine della richiesta) rispetto a codici mostrati in app silenti.
3. Installa solo app fidate (Play Store ufficiale + sviluppatori noti); diffida da app con nomi strani o che imitano popolari app con poche recensioni.
4. Controlla comportamenti sospetti: consumi anomali di batteria, app che si comportano in background in modo insolito, o popup strani.
5. Per sviluppatori: monitorate le librerie che usate e limitate l’esposizione di schermate sensibili. Al momento non ci sono mitigazioni semplici note per le app (i ricercatori stesso lo hanno evidenziato) — tenete i vostri team di sicurezza coinvolti.

Cosa possono (e stanno facendo) i vendor

Google ha già rilasciato un patch iniziale e ha valutato la questione ad alta severità; i ricercatori però hanno trovato workaround che riattivavano l’attacco fino a ulteriori aggiornamenti. La timeline dei fix è in rapido movimento: è un tema “caldo” e segnalato anche con CVE.

Conclusione

La buona notizia è che ora sappiamo COSA può succedere e COME: conoscenza = potere.

La cattiva notizia è che il rimedio definitivo non è immediato per tutti i dispositivi. Quindi fai la cosa più noiosa ma efficace: aggiorna, scegli 2FA robusto, e non dare fiducia cieca a ogni app carina che promette filtri per le foto o sfondi vivaci.

📣 Ti è già capitato qualcosa di sospetto sul telefono?
💬 Raccontalo nei commenti: può aiutare altri a riconoscere il problema.
🔁 Condividi l’articolo: la consapevolezza è la prima difesa.