Androidの新欠陥は、悪質なアプリがGPUタイミング攻撃で2FAコードとメッセージを盗むことになり、部分的に修正されているもののほとんどのデバイスに影響する。 A new Android flaw lets malicious apps steal 2FA codes and messages via GPU timing attacks, affecting most devices despite a partial fix.

最近発見されたAndroidの脆弱性"Pixnapping"は CVE-2025-48561と追跡されていて 攻撃用のアプリは2要素認証コードやプライベートメッセージなどの 機密の画面データを盗み込み GPUのタイミングを悪用するサイドチャネル攻撃をします A newly discovered Android vulnerability called "Pixnapping," tracked as CVE-2025-48561, allows malicious apps to steal sensitive on-screen data like two-factor authentication codes and private messages using a side-channel attack that exploits GPU timing. UCバークレー,UCサンディエゴ,ワシントン大学,カーネギー・メロン大学の研究者は,この欠陥がPixelやSamsungのフラッグシップモデルを含む,ほぼすべての現代的なAndroidデバイスに影響を与え,30秒未満で2FAコードを抽出できることを実証しました. Researchers from UC Berkeley, UC San Diego, the University of Washington, and Carnegie Mellon demonstrated the flaw affects nearly all modern Android devices, including Pixel and Samsung flagship models, and can extract 2FA codes in under 30 seconds. 攻撃は合法なアプリを騙して コンテンツを表示させ ユーザの同意なしに ピクセルレベルのタイム分析で再構築します The attack tricks legitimate apps into displaying content, then reconstructs it via pixel-level timing analysis without user consent. Googleは9月のアップデートで部分的な修正をリリースしましたが 研究者はこのエクスプロイトを回避でき,12月に完全なパッチが期待されていることを確認しています Google has released a partial fix in the September update, but researchers confirm the exploit can bypass it, with a full patch expected in December. 2025年10月14日現在,実際の使用の証拠は見つかりませんでした. No evidence of real-world use has been found as of October 14, 2025. ユーザーは、デバイスの更新を継続し、信頼されていないアプリを避けるよう助言されている。 Users are advised to keep devices updated and avoid untrusted apps.