ภัยเงียบหน้าใหม่ที่ควรรู้จักไว้อย่าง Pixnapping การโจมตีที่ถูกค้นพบบนอุปกรณ์ Android ซึ่งอาศัยช่องโหว่ของการแสดงผลพิกเซลบนหน้าจอในการโจรกรรมข้อมูล ในปัจจุบันได้มีแพทช์อัปเดตเพื่อแก้ไขปัญหาดังกล่าวแล้ว แต่คาดว่าจะเต็ม 100% ในเดือนธันวาคม 2025

Pixnapping คืออะไร

Pixnapping คือการโจรกรรมข้อมูลรูปแบบหนึ่งบนสมาร์ทโฟนของเรา (ตอนนี้ยังไม่เจอเคสจริง) ด้วยการใช้เทคนิคอย่างการให้แอปอันตรายซึ่งมี Pixnapping แฝงมาด้วย สามารถดึงข้อมูลบนหน้าจอของแอปอื่นที่กำลังเปิดใช้งานอยู่ได้ แล้วอาศัยการดึงข้อมูลผ่านช่องโหว่ของ Android API กับ GPU

Pixnapping ทำงานยังไง

อย่างที่กล่าวไปข้างต้นครับ Pixnapping ที่แฝงมากับแอปฯ อันตรายไม่จำเป็นต้องถูกเปิดใช้งานก็ได้ แต่ขอแค่มีติดตั้งอยู่บนสมาร์ทโฟนของเราเอง เมื่อไหร่ก็ตามที่เราเปิดใช้งานแอปซึ่งมีข้อมูลสำคัญอยู่มันก็พร้อมจะดึงข้อมูลของเราอยู่เสมอ และไม่จำเป็นต้องขอสิทธิ์ (Permission) ในการเข้าถึงหน้าจอของเราอีกด้วย

หรือหากพูดแบบเจาะรายละเอียดเพิ่มเติมก็คือ Pixnapping จะใช้ฟังก์ชันอย่าง Android Intents เพื่อบังคับให้สิ่งที่แสดงผลอยู่บนหน้าจอ (Pixel) เข้าสู่ Rendering Pipeline แล้วนำคอนเทนต์หรือการแสดงผลแบบโปร่งใส (Masking Activity) มาแปะทับอีกทีบน Pixel ที่ต้องการจะขโมยข้อมูล

เป้าหมายคือการเข้ารหัสสีของพิกเซลเป้าหมาย จากนั้นจึงดึงข้อมูลทีละพิกเซลจนครบชุด แล้วทำให้กลายเป็นรูปแบบภาพ ข้อความหรือโค้ด (Visual Pattern) ในที่สุด โดยที่ผู้ใช้งานอย่างเราจะไม่รู้ตัวเลย

อุปกรณ์ที่ถูกทดสอบแล้ว

นักวิจัยเจ้าของ Paper ได้ทำการทดสอบ Pixnapping บนสมาร์ทโฟน Android รุ่นต่างๆ เป็นจำนวน 5 รุ่น ซึ่งทำงานอยู่บนระบบปฏิบัติการ Android 13 จนถึง Android 16 พร้อมระบุเสริมว่าอุปกรณ์รุ่นอื่นที่ยังไม่ได้รับการยืนยันหรือการทดสอบนั้น จริงๆ ก็มีความเสี่ยงอยู่เพราะถือว่าพื้นฐานคืออุปกรณ์ Android เหมือนกัน

  • Google Pixel 6 / Google Pixel 7 / Google Pixel 8 / Google Pixel 10
  • Samsung Galaxy S25

แอปพลิเคชันที่มีความเสี่ยงหรือข้อมูลที่ถูกขโมยได้

Pixnapping สามารถโจมตีได้แบบ 100% ของเว็บไซต์ที่ผู้ใช้เข้าถึงผ่าน Google Chrome หรือ Custom Tab ไปจนถึงเว็บไซต์อื่นๆ เช่น Google Accounts, Gmail และ Perplexity AI เป็นต้น

ในส่วนของแอปพลิเคชันที่ติดตั้งอยู่บนเครื่องของเราก็มีโอกาสเหมือนกัน เช่น Google Maps Timeline (ขโมยประวัติการเดินทาง ตำแหน่งบ้าน และกิจวัตรประจำวัน) Google Messages (ขโมยเนื้อหาข้อความที่สำคัญ) และ Google Authenticator (ขโมยรหัส 2FA)

Google รับทราบเรื่องแล้วหรือยัง

ในเดือนกกันยายน 2025 ที่ผ่านมา Google ได้ปล่อยอัปเดตเพื่อแก้ไขปัญหาดังกล่าวด้วยรหัส CVE-2025-48561 อย่างไรก็ตามแพทช์อัปเดตดังกล่าวไม่สามารถแก้ไขปัญหาได้แบบ 100% เพราะยังมีช่องโหว่ที่สามารถเปิดให้ Pixnapping กลับมาใช้งานได้อีกครั้ง โดยทาง Google ก็รับทราบเรื่องเป็นที่เรียบร้อย และยืนยันว่าจะออกแพทช์แก้ไขให้แล้วเสร็จภายในเดือนธันวาคม 2025

Pixnapping ป้องกันได้

อย่างที่เมนชันไปก่อนหน้านี้ว่าปัจจุบัน Pixnapping ยังไม่ถูกค้นพบว่ามีผู้เสียหายหรือกรณีที่ใช้เทคนิคดังกล่าวในการโจมตีเพื่อโจรกรรมข้อมูลแล้วหรือยัง แต่ขอแนะนำให้ผู้อ่านทำการอัปเดตแพทช์ความปลอดภัยของ Android ทุกครั้งจะดีที่สุดครับ รวมไปถึงการหลีกเลี่ยงที่จะติดตั้งแอปฯ จากแหล่งที่ไม่รู้จักที่มา หรือแอปฯ ที่มีความเสี่ยงกับน่าสงสัยสูง (แอปฯ ที่ไม่มีรีวิวหรือโผล่มาให้ติดตั้งแบบงงๆ)

ไปจนถึงการหลีกเลี่ยงกด “แสดงรหัสผ่าน” บนหน้าจอในเวลาที่ทำการกรอก Password เพื่อเลี่ยงไม่ให้ข้อมูลที่ Sensitive เป็นพิเศษรั่วไหลออกไป

ที่มา : Pixnapping