Το "Pixnapping" περιγράφεται ως μια εξελιγμένη επίθεση τύπου side-channel που εκμεταλλεύεται τον τρόπο με τον οποίο η μονάδα επεξεργασίας γραφικών (GPU) του τηλεφώνου διαχειρίζεται το rendering των εφαρμογών. Ουσιαστικά, επιτρέπει σε κακόβουλες εφαρμογές να "κλέψουν" δεδομένα συμπεριλαμβανομένων των κωδικών 2FA που εμφανίζονται σε εφαρμογές όπως ο Google Authenticator χωρίς να έχουν άμεση άδεια πρόσβασης σε στιγμιότυπα οθόνης.
Οι ερευνητές ασφάλειας ανακάλυψαν ότι, χρησιμοποιώντας μια μέθοδο χρονισμού (timing attack), μπορούν να παρακολουθήσουν τις μικροσκοπικές διαφορές στον χρόνο που χρειάζεται η GPU για να εμφανίσει διαφορετικά στοιχεία στην οθόνη. Αυτή η διαφορά χρόνου, όσο απίστευτο κι αν ακούγεται, μπορεί να μεταφραστεί πίσω σε ακριβείς πληροφορίες σχετικά με το τι ακριβώς εμφανίζεται σε ένα συγκεκριμένο σημείο της οθόνης, σαν να έπαιρναν κρυφά "αποδείξεις" της οθόνης.
Η ανησυχία είναι μεγάλη, καθώς η επίθεση δεν απαιτεί ριζική πρόσβαση (root access) ή ιδιαίτερα προνομιούχες άδειες. Αρκεί μια φαινομενικά αθώα, κακόβουλη εφαρμογή να είναι εγκατεστημένη στο Android τηλέφωνο του χρήστη. Μόλις αυτή η εφαρμογή εκτελεστεί, μπορεί να αρχίσει να παρακολουθεί τις δραστηριότητες άλλων ευαίσθητων εφαρμογών, θέτοντας σε κίνδυνο όχι μόνο τους κωδικούς 2FA, αλλά και άλλα ευαίσθητα δεδομένα εφαρμογών.
Ενώ η Google έχει ενημερωθεί για το σοβαρό ζήτημα, προς το παρόν δεν έχει κυκλοφορήσει μια επίσημη ενημέρωση ασφαλείας για να διορθώσει το υποκείμενο σφάλμα στο λειτουργικό σύστημα. Αυτό αφήνει ένα μεγάλο μέρος της κοινότητας των χρηστών Android εκτεθειμένο.
Μέχρι να κυκλοφορήσει μια μόνιμη λύση, οι ειδικοί συνιστούν στους χρήστες να στραφούν σε μεθόδους 2FA που δεν βασίζονται σε κωδικούς που εμφανίζονται στην οθόνη του τηλεφώνου. Η καλύτερη λύση είναι η χρήση κλειδιών ασφαλείας υλικού (όπως τα FIDO/U2F keys), τα οποία είναι απρόσβλητα σε τέτοιες λογισμικές επιθέσεις, ή η ενεργοποίηση των Ειδοποιήσεων Google (Google Prompts) αντί των κωδικών OTP ή SMS, όταν είναι διαθέσιμες.
