Google Authenticatorの場合、二要素認証コードが30秒毎に更新されます。PixnappingはGoogle Authenticatorを起動して二要素認証コードが表示されるとそれをピクセル単位で記録し、光学文字認識(OCR)を用いて認識するそうです。これについて、開発陣は「概念的には悪意のあるアプリがアクセスできないはずの画面コンテンツのスクリーンショットを撮っているようなもの」と説明しています。

Pixnappingは、ピクセルをレンダリングパイプラインに強制的に取り込み、Androidインテントを介してそれらのピクセルの上に半透明のアクティビティを重ね合わせるように処理するそうです。これらのピクセルにグラフィック操作を誘導するため、インスタンス化ではAndroidのウィンドウのぼかしAPIを使用しています。なお、PixnappingはピクセルをリークするためにGPU.zipのサイドチャネルに依存しているそうです。

Pixnappingは共通脆弱性識別子(CVE)では「CVE-2025-48561」として追跡されています。

NVD - CVE-2025-48561
https://nvd.nist.gov/vuln/detail/CVE-2025-48561

研究ではAndroid 13～16を搭載したPixel 6、Pixel 7、Pixel 8、Pixel 9、Galaxy S25でPixnappingの概念実証が行われていますが、その他のAndroidデバイスがPixnappingの影響を受けるか否かは確認されていません。ただし、攻撃を可能にするコアメカニズムは「すべてのAndroidに存在する」と開発陣は指摘しています。

Pixnappingは、権限がない(マニフェストファイルに権限が指定されていない)場合でも、この攻撃を実行することが可能。標的のアプリを開いた時に表示されるものはすべて、Pixnappingを利用する悪意のあるアプリによって盗まれる可能性があるため、チャットメッセージ、二要素認証コード、メールなどはすべて脆弱(ぜいじゃく)です。つまり、アプリに表示されない情報(保存されているが画面には表示されない秘密キーなど)は、Pixnappingに盗まれる心配はありません。

開発陣はPixnappingが実際に悪用されている可能性については「不明」としており、Androidユーザー向けには「パッチが利用可能になったらすぐにインストールしてください」と推奨しています。なお、GoogleはウィンドウのぼかしAPIが実行できるアクティビティの数を制限することで、Pixnappingの機能を制限することを試みています。ただし、ウィンドウのぼかしAPIに制限を課した場合でも、Pixnappingを動作させるバイパス方法を開発陣は発見しています。

Androidアプリの開発者向けには、「Pixnappingからアプリを保護するための緩和策は、現時点では把握していません。緩和策について何か知見をお持ちでしたら、ぜひお知らせください」と言及しました。

なお、Pixnappingに関する研究論文は2025年10月13日から台湾で開催されているACM CCS 2025で発表される予定です。