Android научили «подглядывать» за кодами 2FA: что такое Pixnapping и как защититься

Коротко: новая уязвимость Pixnapping (CVE-2025-48561) позволяет считывать содержимое экрана по «стороннему каналу» — по времени рендеринга и микроварьированию работы дисплея. Скорость низкая (доли пикселя в секунду), но для коротких SMS-кодов этого достаточно. Под ударом — часть устройств на Android 13–16 (отмечены линии Pixel и Samsung). Ниже — простым языком и с чек-листами.

Что именно нашли

• Pixnapping восстанавливает изображение не «снимком», а по косвенным признакам: как меняется время отрисовки и поведение матрицы при появлении новых пикселей.
• Этого хватает, чтобы «выудить» одноразовый код: он короткий, крупный и часто всплывает в уведомлении.
• Эксплойт не требует root и может прятаться в «безобидном» приложении (в том числе с рекламным SDK).

Почему под прицелом именно SMS-коды

• Они короткие и часто видны в уведомлении или во всплывающем баннере.
• Стандартный сценарий — код на экране несколько секунд: для медленного канала этого достаточно.
• В отличие от аппаратных ключей и Passkeys/FIDO2, SMS-коды завязаны на экран и уведомления.

Статус исправлений

• Базовый фикс попал в осенние патчи безопасности; дополнительный закрывающий апдейт заявлен на декабрь.
• Важно: не все модели получают патчи синхронно. У операторских и старых аппаратов — задержки.

Защищаемся прямо сейчас (пошагово)

За 2 минуты:

1. Обновите систему: Настройки → Безопасность → Обновление системы.
2. Скрывайте чувствительное в уведомлениях: Настройки → Уведомления → На экране блокировки → «Скрывать содержимое».
3. Выключите «поверх других окон» для всего, что не доверяете: Настройки → Приложения → Специальный доступ → Отображение поверх других приложений.
4. Включите Play Protect: Google Play → Профиль → Play Protect → Проверка приложений.
5. SIM-PIN: Настройки → Безопасность → Блокировка SIM.

На перспективу (надежнее, чем SMS):

• Перейдите на Passkeys/FIDO2 (ключи USB-C/NFC) для банков, почты и работы.
• Если ключ пока не купили — используйте генераторы кодов (Google Authenticator, Aegis, Authy) или встроенные push-подтверждения.
• Включите уведомления о входе и контроль активных сессий в каждом важном сервисе.

Чего не делать

• Не ставьте APK со сторонних сайтов «ради экономии» — это частый вектор доставки модулей с побочными каналами.
• Не раздавайте приложению кучу прав «на всякий случай» (оверлеи, доступ к уведомлениям, службам специальных возможностей) — давайте ровно по задаче.
• Не оставляйте код «на виду»: отключите превью уведомлений на заблокированном экране.

Отдельный блок для бизнеса

• Обязательный MAM/MDM-профиль на корпоративных Android и запрет оверлеев политикой.
• Passkeys/FIDO2 как требование для админ-аккаунтов.
• Мониторинг: алерты по смене SIM/IMEI, отключение «неизвестных источников», отчетность по патч-уровню.

Как понять, что что-то не так

• Неожиданная просадка батареи, рост нагрева в фоне, «плавающие» оверлей-окна.
• Смс о перевыпуске SIM, письма о входах из новых устройств, транзакции без подтверждения.

Что делать, если вы могли стать жертвой

1. Отключите сеть (Wi-Fi/моб. данные), выньте SIM.
2. С другого защищенного устройства смените пароли, отключите активные сессии, обновите факторы 2FA на Passkeys/приложение/ключ.
3. Свяжитесь с оператором (блок SIM/перевыпуск) и банком (стоп-операции).
4. Проверьте список приложений и их «спецдоступы», удалите подозрительное.
5. Сделайте резервную копию, затем — сброс к заводским и восстановление из «чистой» копии.

Итог

Pixnapping — не «конец 2FA», а напоминание: SMS-коды уязвимы по дизайну. Обновления + скрытие содержимого уведомлений + отказ от SMS в пользу Passkeys/FIDO2 и генераторов кодов закрывают риск для подавляющего большинства сценариев.

Если вам нужна стабильная связь для обновлений, push-подтверждений и работы с ключами безопасности — выбирайте Безлимит: надежные тарифы и удобные опции управления номером помогают держать безопасность под контролем.