Googleは、認証アプリやSignalなどの高セキュリティアプリから情報を盗み出せる新たな攻撃手法「Pixnapping(ピクスナッピング)」の脆弱性に対処したことを明らかにしました。この問題はPixelシリーズを中心に、一部のGalaxy端末でも確認されており、9月のセキュリティアップデートで部分的な修正が行われています。
表示情報を“盗み見る”新たな攻撃手法
Pixnappingは、Androidの「Intentシステム」を悪用することで、アプリ間の通信機能を利用して機密情報を描画させ、その画面の一部を透過オーバーレイ上で盗み取るというものです。攻撃者はさらに、GPUのレンダリング情報を不正に取得する「GPU.zip」などの脆弱性と組み合わせることで、ユーザーに気付かれないままパスコードや認証情報を抜き取ることが可能になります。
この脆弱性を発見した研究チームは7名で構成されており、Pixel 7、Pixel 8、Pixel 9、さらにGalaxy S25など複数の端末で実際に攻撃を再現することに成功したと報告しています。
Googleは9月アップデートで対応、12月に追加パッチ予定
研究チームによると、Googleは2025年2月にこの脆弱性の報告を受け、同年9月のセキュリティアップデートで初期対応を実施しました。これはGoogleが問題を深刻視している証拠といえますが、同チームは既存パッチを回避できる“抜け道”も確認しており、完全な修正には至っていません。
Googleはこの残る脆弱性(CVE-2025-48561)への追加対策を12月のセキュリティ更新で提供する予定であり、現時点では実際の被害報告は確認されていないとしています。
Androidはオープン性ゆえに多くの利点を持つ一方で、こうした複合的な脆弱性のリスクも抱えています。今回のPixnapping問題はその一例ですが、Googleが迅速に対応している点は評価できるでしょう。ユーザーとしては、今後のアップデートを確実に適用し、最新のセキュリティ状態を維持することが何より重要です。
