เตือนภัยคนใช้แอนดรอยด์! ช่องโหว่ร้ายแรง เปิดช่องแฮกเกอร์ส่องหน้าจอ ขโมยข้อมูลได้ทันที

ทีมนักวิจัยความปลอดภัยเปิดเผยช่องโหว่ความปลอดภัยระดับสูงบนระบบปฏิบัติการแอนดรอยด์ชื่อ “Pixnapping” ซึ่งเป็นเทคนิคการโจมตีรูปแบบใหม่ที่น่ากังวลอย่างยิ่ง โดยอนุญาตให้แฮกเกอร์สามารถแอบดูหน้าจอและขโมยข้อมูลที่ละเอียดอ่อนของผู้ใช้งานได้ทีละพิกเซล ไม่ว่าจะเป็นรหัสผ่านครั้งเดียว (OTP), ข้อความส่วนตัว หรือข้อมูลสำคัญอื่น ๆ โดยที่แอปพลิเคชันอันตรายไม่จำเป็นต้องขออนุญาต (Permission) ใด ๆ จากผู้ใช้เลยแม้แต่น้อย

การโจมตีนี้ส่งผลกระทบในวงกว้าง โดยนักวิจัยระบุว่าอุปกรณ์ Android สมัยใหม่แทบทั้งหมดมีความเสี่ยง จากการทดสอบพบว่าสามารถใช้งานได้จริงบนสมาร์ทโฟน Google Pixel (รุ่น 6-9), Samsung Galaxy S25 และระบบปฏิบัติการ Android เวอร์ชัน 13 ถึง 16 นอกจากนี้ยังสามารถขโมยข้อมูลจากแอปพลิเคชันยอดนิยมอย่าง Gmail, Google Authenticator, Signal และ Venmo ได้สำเร็จ

Pixnapping ทำงานอย่างไร?

หลักการทำงานของ Pixnapping อาศัยกลไกพื้นฐานของระบบ Android ที่เรียกว่า “Intents” ซึ่งเป็นช่องทางให้แอปพลิเคชันต่าง ๆ สื่อสารกันได้ โดยมีขั้นตอนการโจมตีดังนี้ :

1. ติดตั้งแอปฯ อันตราย: ผู้ใช้ถูกหลอกให้ติดตั้งแอปพลิเคชันที่มีโค้ดสำหรับโจมตีแฝงอยู่ ซึ่งแอปฯ นี้ไม่จำเป็นต้องขอสิทธิ์เข้าถึงใด ๆ เป็นพิเศษ
2. เปิดแอปฯ เป้าหมายเบื้องหลัง: เมื่อผู้ใช้เปิดแอปฯ อันตราย มันจะสั่งการให้เปิดแอปพลิเคชันเป้าหมาย (เช่น Google Authenticator) ขึ้นมาทำงานในพื้นหลังอย่างเงียบ ๆ
3. ซ้อนทับหน้าจอ: แอปฯ อันตรายจะใช้เทคนิคซ้อนหน้าต่างโปร่งแสง (Semi-transparent activities) ทับหน้าจอของแอปฯ เป้าหมาย เพื่อซ่อนการทำงานทั้งหมดไม่ให้ผู้ใช้มองเห็น
4. ขโมยข้อมูลทีละพิกเซล: จากนั้นจะเริ่มกระบวนการขโมยข้อมูล โดยใช้ช่องโหว่ข้างเคียง (Side-channel exploit) ที่เรียกว่า GPU.zip เพื่อบังคับให้ GPU ของเครื่องแสดงผลพิกเซลทีละจุด แล้ววัดระยะเวลาที่ใช้ในการเรนเดอร์เฟรมภาพ ซึ่งระยะเวลาที่แตกต่างกันจะทำให้นักโจมตีสามารถคาดเดาสีของพิกเซลนั้น ๆ ได้ และเมื่อทำซ้ำไปเรื่อย ๆ ก็จะสามารถประกอบร่างสร้างข้อมูลที่มองเห็นบนหน้าจอขึ้นมาใหม่ได้ทั้งหมด

แม้ว่าอัตราการรั่วไหลของข้อมูลจะค่อนข้างช้า (ประมาณ 0.6 ถึง 2.1 พิกเซลต่อวินาที) แต่ก็เพียงพอที่จะสร้างความเสียหายร้ายแรงได้ โดยนักวิจัยสาธิตว่าสามารถขโมยรหัสยืนยันตัวตนสองขั้นตอน (2FA) จากแอปฯ Google Authenticator ได้ภายในเวลาไม่ถึง 30 วินาที ในขณะที่การขโมยข้อมูลทั้งหน้าจอของ Gmail อาจใช้เวลานานถึง 10-25 ชั่วโมง

การแก้ไขจาก Google

นักวิจัยได้แจ้งเรื่องช่องโหว่ Pixnapping ให้ทาง Google ทราบตั้งแต่เดือนกุมภาพันธ์ 2025 และได้รับการประเมินว่าเป็นช่องโหว่ที่มีความรุนแรงสูง (High severity) ต่อมา Google ได้ปล่อยแพตช์เพื่อพยายามแก้ไขปัญหานี้ ด้วยการจำกัดจำนวนครั้งที่แอปฯ สามารถเรียกใช้เอฟเฟกต์เบลอได้ อย่างไรก็ตาม ทีมนักวิจัยก็สามารถพัฒนาวิธีหลบเลี่ยงแพตช์ดังกล่าวได้สำเร็จ

ล่าสุด นักวิจัยได้ส่งข้อมูลการหลบเลี่ยงแพตช์ให้ Google ทราบแล้วเมื่อวันที่ 8 กันยายน 2025 และทาง Google มีแผนที่จะออกแพตช์ความปลอดภัยเพิ่มเติมเพื่ออุดช่องโหว่นี้อย่างสมบูรณ์ใน Android Security Bulletin ประจำเดือนธันวาคม ที่จะถึงนี้

นอกจากการโจมตี Pixnapping แล้ว รายงานวิจัยยังเปิดเผยถึงช่องโหว่อีกประการหนึ่ง คือแอปพลิเคชันบน Android สามารถตรวจสอบได้ว่ามีแอปฯ ใดบ้างติดตั้งอยู่บนเครื่อง ซึ่งแอปฯ อันตรายอาจใช้ข้อมูลนี้เพื่อสร้างโปรไฟล์และติดตามพฤติกรรมของผู้ใช้งานได้อีกด้วย

ที่มา