暗号ウォレットのシードフレーズを暴露する新しいAndroidエクスプロイト「Pixnapping」の可能性

サイバーセキュリティ研究者は、悪意のあるアプリがあなたの携帯電話の画面に表示されているもの（暗号ウォレットの回復フレーズ、二要素認証（2FA）コード、およびその他の機密情報を含む）を密かに盗むことができる、「Pixnapping」と名付けられた危険な新しいAndroidの脆弱性を発見した。

新しく発表された研究論文によると、PixnappingはAndroidの通常のセキュリティ保護をバイパスし、ブラウザ以外のアプリからデータを抽出することさえできる。このエクスプロイトは、スクリーンショットを撮ったり、画面に表示されているものを直接記録したりするのではなく、巧妙な視覚的トリックを使って、あなたが見ているものを1ピクセルずつ再構築する。

まず、攻撃者のアプリは他のアプリの上にいくつかの半透明のオーバーレイを静かに配置し、1ピクセルの領域だけを露出させる。これらのオーバーレイの色と透明度を変更し、そのピクセルがどのように反応するかを注意深くタイミングを合わせることで、悪意のあるアプリはその下から来る色情報を「読み取る」ことができる。

多くのピクセルとフレームにわたってこのプロセスを繰り返すことで、テキスト、数字、暗号のシードフレーズさえも含め、画面に表示されているものの完全なイメージを徐々に再構築する。

この処理には時間がかかるため、変化の速い画面では効果が薄れるが、ウォレットリカバリーのフレーズやコピーダウンされる2FAコードなど、数秒間表示され続ける情報をターゲットにする場合は非常に危険である。

暗号シード・フレーズが危険にさらされている

シードフレーズ（ユーザーの暗号通貨ウォレットにフルアクセスするためのユニークな単語）は、特に危険にさらされている。多くのユーザーは、これらのフレーズを手動でコピーするのに十分な時間表示するため、攻撃者がこれらのフレーズを捕捉する隙を作ることになる。

ラボテストにおいて、研究者はPixnappingがGoogle Pixel携帯から6桁の2FAコードの復元に成功したことを実証した。この攻撃は、Pixel 6で73％、Pixel 7で53％、Pixel 8で29％、Pixel 9で53％の成功率を達成し、平均復元時間は14秒から25秒だった。

完全な12単語のフレーズを再構築するには時間がかかるが、フレーズが長く表示される場合、特に高解像度のディスプレイでは、この攻撃は実行可能である。

研究者は、GoogleのPixel 6-9やSamsungのGalaxy S25を含むデバイスで、Androidのバージョン13から16にわたるエクスプロイトをテストした。悪用されたAndroid APIは広く利用可能であるため、この脆弱性は他のデバイスにも影響を及ぼす可能性がある。

グーグルは当初、アプリが同時にぼかすことができるオーバーレイレイヤーの数を制限することで、この欠陥にパッチを当てようとした。しかし、研究チームはすぐに、攻撃を実行可能な状態に保つ回避策を発見した。論文は次のように指摘している。

「10月13日現在、我々はグーグル社およびサムスン社と、情報開示のスケジュールや緩和策について調整中である。

グーグルはこの脆弱性を深刻度が高いと評価し、研究者にバグ報奨金を与えた。チームはまた、グーグルの初期パッチがギャラクシー端末を完全に保護できなかったことをサムスンに伝えた。

ハードウェア・ウォレットは依然として最も安全な賭け

専門家は、シード・フレーズやプライベート・キーをアンドロイド・デバイス、あるいはインターネットに接続されたデバイスに表示しないよう強く勧めている。最も安全な方法は、ハードウェアウォレットを使用して鍵を保管・管理することである。ハードウェアウォレットは、プライベートデータを完全にオフラインに保ち、潜在的に危険なアプリやブラウザに公開することはない。

ハードウェアウォレットは隔離されたセキュリティデバイスとして機能し、あなたの携帯電話やコンピュータに機密情報を明かすことなく、独立して取引に署名する。サイバーセキュリティ研究者のVladimir Sは、X.S.の記事で次のように述べている：

「暗号のセキュリティーに携帯電話を使わない。ハードウェアウォレットを使おう

Pixnappingの発見は、最新のスマートフォンでさえ、独創的な新たなエクスプロイトと無縁ではないことを痛感させるものだ。暗号保有者にとって、この発見は身近な真実を補強するものだ。真のセキュリティは、依然として注意深く、隔離し、コールド・ストレージすることにある。