xs
xsm
sm
md
lg

เตือนภัยผู้ใช้คริปโตบน Android! พบช่องโหว่ใหม่ “Pixnapping” แอบดูดรหัส Seed และ 2FA โดยไม่ต้องขอสิทธิ์เข้าถึง

เผยแพร่:   ปรับปรุง:   โดย: ผู้จัดการออนไลน์



นักวิจัยจาก Carnegie Mellon เผยกลไกแฮ็กใหม่ร้ายแรง ใช้การวิเคราะห์พิกเซลบนหน้าจอเพื่อขโมยข้อมูลสำคัญจากแอปคริปโตและอีเมล ขณะผู้ใช้ไม่รู้ตัว ช่องโหว่นี้กระทบทั้ง Google และ Samsung เตรียมอัปเดตแพตช์อุดรอยรั่วระดับสูงในเดือนธันวาคม

โลกความปลอดภัยคริปโตสั่นสะเทือนอีกครั้ง เมื่อทีมนักวิจัยด้านความปลอดภัยไซเบอร์จากมหาวิทยาลัย Carnegie Mellon เปิดเผยการค้นพบช่องโหว่ใหม่บนระบบปฏิบัติการ Android ที่สามารถขโมยข้อมูลสำคัญจากหน้าจอผู้ใช้ได้โดยไม่ต้องขอสิทธิ์เข้าถึงใด ๆ ช่องโหว่นี้ถูกตั้งชื่อว่า “Pixnapping” โดยใช้กลไกการโจมตีแบบใหม่ที่สามารถ “ดูดข้อมูลจากหน้าจอ” ทีละพิกเซล โดยเลี่ยงระบบรักษาความปลอดภัยของ Android อย่างแนบเนียน

เทคนิคดังกล่าวอาศัยจุดอ่อนของการประมวลผลกราฟิก (GPU side-channel) ที่รู้จักในชื่อ GPU.zip เพื่อแยกและสร้างภาพข้อมูลจากหน้าจอแอปที่มีความอ่อนไหว เช่น Google Authenticator, Signal, Gmail และกระเป๋าคริปโตต่าง ๆ โดยไม่ต้องใช้สิทธิ์เข้าถึงหรือ root เครื่อง

กลไกการแฮ็กที่เหมือน “ถ่ายภาพหน้าจอโดยไม่ได้รับอนุญาต”

Pixnapping ทำงานโดยให้แอปอันตรายที่ผู้ใช้ติดตั้งเอง เรียกใช้งานแอปเป้าหมาย เช่น กระเป๋าคริปโตหรือแอปยืนยันตัวตน จากนั้นระบบจะวิเคราะห์เวลาการแสดงผลของพิกเซลที่มีข้อมูลสำคัญ เพื่อสร้างภาพใหม่ขึ้นมาทีละพิกเซล ผ่านกระบวนการที่นักวิจัยเปรียบเทียบว่า “เหมือนการถ่ายภาพหน้าจอโดยไม่ได้รับอนุญาต”

Pixnapping ใช้ Window Blur API และ VSync callbacks ของ Android เพื่อบังคับให้ระบบแสดงผลพิกเซลที่ต้องการวิเคราะห์ โดยซ้อนกิจกรรมกึ่งโปร่งใสหลายชั้น และวัดระยะเวลาในการเรนเดอร์แต่ละเฟรม ความแตกต่างของเวลาเพียงเสี้ยววินาทีช่วยให้ผู้โจมตีถอดรหัสสีของแต่ละพิกเซลได้ ก่อนจะนำมารวมเป็นภาพเต็มของข้อมูลที่แสดงบนหน้าจอ

เจาะสำเร็จบน Pixel และ Galaxy S25 ข้อมูล Seed Phrase เสี่ยงรั่วไหล

การโจมตีถูกทดสอบสำเร็จบนอุปกรณ์ Google Pixel 6 - Pixel 9 และ Samsung Galaxy S25 ที่ใช้ Android เวอร์ชัน 13 ถึง 16 โดยสามารถดึงรหัสยืนยันตัวตน (2FA) จากแอป Google Authenticator ได้ในเวลาไม่ถึง 30 วินาที ซึ่งเร็วพอจะนำไปใช้ก่อนรหัสหมดอายุ

นักวิจัยเตือนว่า แม้การดึง Seed Phrase ที่ยาวกว่าจะใช้เวลามากกว่า แต่ก็ยังอยู่ในระดับที่ “เสี่ยงสูง” โดยเฉพาะเมื่อผู้ใช้เปิดหน้าจอเก็บรหัสไว้เป็นเวลานาน เพราะผู้โจมตีสามารถสร้างภาพพิกเซลเหล่านั้นขึ้นใหม่ได้ทั้งหมด

ช่องโหว่นี้ถูกระบุเป็น CVE-2025-48561 และรายงานต่อ Google ตั้งแต่กุมภาพันธ์ 2568 ก่อนที่บริษัทจะปล่อยแพตช์แก้ไขบางส่วนในเดือนกันยายนที่ผ่านมา อย่างไรก็ตาม ทีมวิจัยยืนยันว่าพบวิธีหลีกเลี่ยงแพตช์ดังกล่าวได้ ทำให้ Google ต้องเร่งพัฒนาแพตช์รอบใหม่ซึ่งคาดว่าจะออกในเดือนธันวาคมนี้

จากการทดสอบ นักวิจัยยังสามารถดึงข้อมูลจากแอป Gmail, Signal, Venmo และ Google Maps ได้เช่นกัน เนื่องจากการโจมตีนี้ไม่พึ่งพาสิทธิ์เข้าถึงข้อมูล แต่ใช้วิธี “อ่าน” พิกเซลที่ปรากฏบนหน้าจอโดยตรง ทำให้แม้ระบบ Sandbox หรือการแยกแอปของ Android ก็ไม่สามารถป้องกันได้

ด้านผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ผู้ใช้หลีกเลี่ยงการเปิดเผยรหัส Seed Phrase หรือรหัส 2FA บนหน้าจออุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต รวมถึงหันมาใช้ Hardware Wallet ซึ่งจัดเก็บข้อมูลไว้แบบออฟไลน์และไม่สามารถถูกสอดแนมผ่านหน้าจอได้

รูปแบบการทำงานของ Pixnapping
ภัยไซเบอร์จาก Android พุ่งแรงไม่หยุด - มัลแวร์คริปโตระบาดทั่วโลก

ช่องโหว่ Pixnapping เกิดขึ้นท่ามกลางกระแสการโจมตีด้วยมัลแวร์บน Android ที่พุ่งสูงในช่วงไม่กี่เดือนที่ผ่านมา โดยเฉพาะมัลแวร์สายคริปโตที่เจาะบัญชีกระเป๋าเงินและขโมย Seed Phrase อย่างต่อเนื่อง

โดยรายงานระบุว่าตั้งแต่เดือนเมษายนที่ผ่านมา นักวิจัยจาก ThreatFabric ได้เปิดเผยมัลแวร์ชื่อ “Crocodilus” ที่แพร่ระบาดในตุรกีและสเปน โดยปลอมตัวเป็นแอปคริปโตจริง และหลอกให้ผู้ใช้กรอกข้อมูล Seed Phrase ผ่านการแจ้งเตือนปลอมด้านความปลอดภัย เมื่อเหยื่อติดตั้ง มัลแวร์จะใช้สิทธิ์ Accessibility Service ของ Android เพื่อขโมยรหัสผ่านและรหัสยืนยันแบบสองขั้นตอน พร้อมซ่อนการทำงานไว้หลังหน้าจอสีดำ ทำให้แทบไม่สามารถตรวจจับได้

มัลแวร์ชนิดนี้แพร่กระจายผ่านหลายช่องทาง ทั้งอีเมลฟิชชิ่ง เว็บไซต์ปลอม และโฆษณาชวนเชื่อ ทำให้ยากต่อการระบุแหล่งที่มาอย่างแท้จริง

ในเวลาเดียวกัน บริษัทความปลอดภัยไซเบอร์ Darktrace พบว่าแคมเปญมัลแวร์ขนาดใหญ่ที่ใช้ชื่อบริษัทปลอมในวงการ AI, เกม และ Web3 โดยสร้างเว็บไซต์ โซเชียลโปรไฟล์ และที่เก็บซอร์สโค้ดปลอมบน GitHub เพื่อหลอกให้ผู้ใช้ดาวน์โหลดซอฟต์แวร์ติดมัลแวร์ เช่น Realst และ Atomic Stealer ที่สามารถขโมยข้อมูลกระเป๋าเงินดิจิทัลได้ทั้งบน Windows และ macOS

ทั้งนี้ผู้เชี่ยวชาญเตือนว่า นี่คือพัฒนาการใหม่ของอาชญากรรมไซเบอร์ในยุคคริปโต ที่ผสมผสานระหว่าง “กลอุบายทางสังคม” (Social Engineering) และเทคนิคการแฮ็กระดับสูงอย่างแยบยล ผู้ใช้ควรตรวจสอบความน่าเชื่อถือของโครงการก่อนติดตั้งซอฟต์แวร์ หลีกเลี่ยงการดาวน์โหลดจากแหล่งที่ไม่ยืนยันตัวตน และอย่าหลงเชื่อแคมเปญ Airdrop หรือข้อเสนอจากแพลตฟอร์มใหม่ที่อ้างว่าให้สิทธิพิเศษทางคริปโตโดยไม่ได้ร้องขอ.

เตือนภัยผู้ใช้คริปโตบน Android! พบช่องโหว่ใหม่ “Pixnapping” แอบดูดรหัส Seed และ 2FA โดยไม่ต้องขอสิทธิ์เข้าถึง
รูปแบบการทำงานของ Pixnapping