Author's Profile Photo

Digital Khit (ဒစ်ဂျစ်တယ် ခေတ်)

17/10/2025

"Pixnapping" သို့မဟုတ် Android ဖုန်းတွေဆီကအရေးကြီး အချက်အလက်တွေကို စက္ကန့် ၃၀ အတွင်း ခိုးယူနိုင်တဲ့တိုက်ခိုက်မှုအသစ်

3 mins read
Technology
"Pixnapping" သို့မဟုတ် Android ဖုန်းတွေဆီကအရေးကြီး အချက်အလက်တွေကို စက္ကန့် ၃၀ အတွင်း ခိုးယူနိုင်တဲ့တိုက်ခိုက်မှုအသစ်'s photo

Byline: Ace | နည်းပညာဆောင်းပါးရှင်
Published on: Oct 17, 2025

Screen မှာ ပေါ်သမျှကို Permission မလိုဘဲ ခိုးယူနိုင်တဲ့ တိုက်ခိုက်မှုတစ်ခုဖြစ်တာကြောင့် Pixnapping က ကြောက်စရာကောင်းလှပါတယ်။

Carnegie Mellon University က သုတေသီတွေဟာ Android စနစ်ရဲ့ Security Model ကို လုံးဝ ရှောင်ကွင်းနိုင်တဲ့ တိုက်ခိုက်မှု နည်းလမ်းအသစ်တစ်မျိုးကို ရှာဖွေတွေ့ရှိခဲ့ပြီး "Pixnapping" လို့ နာမည်ပေးထားပါတယ်။

ဒီကောင်က Android user တွေအတွက် အလွန်စိုးရိမ်စရာပါပဲ။ Hacker တွေဟာ ဒီ attack ကို အသုံးပြုပြီး
ကိုယ်ရေးကိုယ်တာ အချက်အလက်တွေ၊ အထူးသဖြင့် Two-Factor Authentication (2FA) ကုဒ်တွေနဲ့ message တွေကို စက္ကန့် ၃၀ အောက်အတွင်း ခိုးယူနိုင်ကြောင်း တွေ့ရှိထားပါတယ်။

Pixnapping က "Side-Channel Attack" အမျိုးအစားဖြစ်ပြီး၊ Software ကို ထိုးဖောက်တိုက်ခိုက်တာမျိုး မဟုတ်ဘဲ Device ရဲ့ Hardware (Graphic Processor) ကို ဦးတည် ပစ်မှတ်ထားတာပါ။

တကယ်တော့ ဒီတိုက်ခိုက်မှုက ၂၀၂၃ ခုနှစ်မှာ ရှာဖွေတွေ့ထားခဲ့တဲ့ "GPU.zip" ဆိုတဲ့ Graphics Processor ရဲ့ Side-Channel vulnerability ပေါ်မှာ အခြေခံပြီး ဆင့်ပွားထားတာပါ။

ဒိ်လိုလုပ်နိုင်ဖို့ကတော့ အတော်အဆင့်မြင့်ပြီး ရှုပ်ထွေးတဲ့ လုပ်ဆောင်ချက်တွေကို လုပ်ဖို့တော့လ်ုပါတယ်။

Pixnapping က Android ရဲ့ App တွေပုံရိပ်ဖော်ရာမှာသုံးတဲ့စနစ် ဖြစ်တဲ့ Rendering System ကို ကြားဖြတ် ဝင်ရောက်ပြီးတော့ Graphic Hardware က ပုံရိပ်အချက်အလက်တွေကို ဘယ်လိုစီမံဆောင်ရွက်လဲဆိုတာနဲ့ အဲလ်ုဆောင်ရွက်တဲ့အခါ Timing Differences တွေကို မှတ်သားရပါတယ်။

ဒီ attack က android app အချို့ထဲမှာ ရှိနေနိုင်ပါတယ်။ Google PlayStore ကနေ သွင်းထားတယ်ဆိုရင်တောင်မှ မလွတ်နိုင်ပါဘူး။ အထူးသဖြင့် သူက ဘာ permission ကိုမှ တောင်းခံစရာမလိုတာကြောင့်မို့ malicious လို့ သံသယဖြစ်စရာ အချက်အလက် ရှိမနေဘူးပေါ့။ Pixnapping ဟာ Android System ထဲမှာရှိတဲ့ API Calls တွေနဲ့ GPU Side-Channel Timing လိုမျိုး နက်နဲတဲ့ နည်းပညာကို အသုံးပြုတဲ့ Sophisticated Attack အမျိုးအစားပါ။

Hacker တွေက ဒီလို အဆင့်မြင့်နည်းပညာ တွေကို အသုံးပြုပြီး အန္တရာယ်မရှိတဲ့ App ပုံစံမျိုးအဖြစ် Google Play Store ထဲကို သွင်းနိုင်စွမ်း ရှိပါတယ်။ ဒါကြောင့်မို့ Play Store က App တိုင်းကို ၁၀၀% ယုံကြည်၍ မရပါ။ Pixnapping သည် နက်နဲသော နည်းပညာကို သုံးပြီး Permission Model ကို ရှောင်ကွင်းသောကြောင့် အလွယ်တကူ သတိထားမိဖို့ မလွယ်ကူလှပါ။ AI တွေကို free ပေးသုံးတဲ့ app အဖြစ်လည်းကောင်း၊ လူစိတ်ဝင်စားစရာ တစ်ခုခု (ဥပမာ - YouTube downloader, TikTok downloader, Facebook downloader, …) အဖြစ် ရှေ့မှာ သာမန် app တစ်ခုသဖွယ် အလုပ်လုပ်နေမှာပါ။

ထူးခြားတာက Malicious App သည် Permissions မတောင်းပေမယ့် Android API တွေကို သုံးပြီး Google Authenticator, Signal , Gmail စတဲ့ သူသိလိုရာ app တွေကို ဖွင့်တယ်ပေါ့။

သူ spy လုပ်လိုတဲ့ app ပေါ်မှာ semi-transparent Window layer တွေကို ဖန်တီးလိုက်တယ်ပေါ့။ ဒါတွေကြောင့် GPU ပေါ်မှာ အသေးစား ဂရပ်ဖစ်ဆိုင်ရာ လုပ်ဆောင်ချက်တွေကို ဖြစ်ပေါ်လာစေပါတယ်။ အဲဒါတွေရဲ့ Rendering Time) ကို တိုင်းတာခြင်းနည်းလမ်းနဲ့ အဲနေရာမှာ ဖော်ပြနေတဲ့ Pixel ရဲ့ အရောင် ဒါမှမဟုတ် အချက်အလက်ကို ပြန်လည် ဖော်ထုတ်ယူနိုင်ပါတယ်။

ဒါကြောင့်
Pixnapping သည် ဖုန်းမျက်နှာပြင်ပေါ်တွင် မြင်နေရတဲ့ မည်သည့် အချက်အလက်ကိုမဆို ခိုးယူနိုင်စွမ်းရှိပါတယ်။

ဘာတွေ ခိုးနိုင်လဲဆိုရင် -

2FA Codes
Google Authenticator or Microsoft authenticator တွေကနေ အချိန်ကန့်သတ်ထားတဲ့ ခြောက်လုံးပါ ကုဒ်တွေကို စက္ကန့် ၃၀ အတွင်း အောင်မြင်စွာ ခိုးယူနိုင်ကြောင်း စမ်းသပ်တွေ့ရှိရပါတယ်

SMS နှင့် အခြားသော message များ
Signal နဲ့ Viber တို့လို End-to-End Encryption သုံးထားတဲ့ Messaging App တွေထဲက message တွေကိုတောင်မှ ခိုးယူနိုင်ပါတယ်။ (screen မှာ ဖော်ကြည့်လို့ရတာကိုး)

ငွေကြေးဆိုင်ရာ
Screen ပေါ်မှာ မြင်တွေ့နိုင်တဲ့ ငွေကြေးဆိုင်ရာ အချက်အလက်တွေကိုလည်း ရယူနိုင်စွမ်းပါတယ်

ဒါတွေအပြင် Google Maps ကနေ တည်နေရာ မှတ်တမ်းတွေကို ယူနိုင်တာမျိုး၊ Cryptocurreny Wallet ရဲ့ recovery အတွက် လိုအပ်တဲ့ key တွေကို သိမ်းထားမိတာမျိုးတွေ ဆိုရင် ခိုးခံရနိုင်ပါတယ်။

ဒီစမ်းသပ်ချက်အတွက်ကို Google ရဲ့ Pixel ဖုန်းတွေနဲ့ Samsung Galaxy S25 ဖုန်းတွေမှာ အောင်မြင်စွာ စမ်းသပ်ဖော်ထုတ်ပြနိုင်ခဲ့ပါတယ်။ ဒါကြောင့်မို့ အခြားဖုန်းတွေမှာလည်း ကျိန်းသေပေါက်ကို ရှိနေမှာပါ။

ဒီ vulnerability ဟာ Android ရဲ့ Core Mechanism နဲ့ သက်ဆိုင်တာကြောင့်မို့ လုံခြုံရေး Patch မရသေးတဲ့ Android စနစ်သုံး ဖုန်းတွေ၊ Tablet တွေ အများကြီး အများကြီးမှာ သက်ရောက်မှု ရှိစေမှာ ဖြစ်ပါတယ်။

ဒီအားနည်းချက်ကို ၂၀၂၅ အစောပိုင်းကာလတွေကတည်းက Google ဆီ report လုပ်ထားပြီး ဖြစ်တာကြောင့် Google ကလည်း ဒီသက်ရောက်မှုကို လျှော့ချနိုင်ဖို့ ကြိုးစားနေပါတယ်။

Google နှင့် Samsung ကတော့ ဒီအတွက် Patch တွေ ထုတ်ပြန်ပေးထားတယ်လို့ သိရပါသော်လည်း Samsung က သူ့ထုံးစံအတိုင်း device အသစ်သမားတွေကိုပဲ ဦးစားပေးထားပုံရပါတယ်။ ရှေ့က device တွေမှာတော့ ဘာ update မှ ထွက်လာတာ မတွေ့ရပါဘူး။ Android Device တွေတိုင်းအတွက် System Update ထွက် မထွက် ပုံမှန် စစ်ဆေးပြီး update ထွက်တာနဲ့ ချက်ချင်း လုပ်ဖို့လိုပါတယ်။

နောက်တစ်ချက်က 2FA ကုဒ်တွေ၊ password တွေနဲ့ Crypto Seed Phrases တွေကို မှတ်တဲ့အခါ note တွေထဲမှာ မမှတ်ဘဲ စာအုပ်မှာ ရေးမှတ်ပြီး offline မှတ်သားတဲ့နည်း မျိုးတွေကို ဦးစားပေး သုံးသင့်ပါတယ်။ Password manager ဆိုတာတွေကိုလည်း မသုံးနဲ့ပေါ့။

နောက်တစ်ချက်က ဖုန်း screen ပေါ်မှာ အရေးကြီး အချက်အလက်တွေကို မလိုအပ်ဘဲ ကြာကြာ မထားနဲ့ပေါ့။ (ဥပမာ- 2FA ကုဒ်ရလျှင် ချက်ချင်း သုံးပြီး Screen ကို ပိတ်ပါ သို့မဟုတ် App မှ ထွက်ပါ)။

ဖြစ်နိုင်ရင် 2FA code တွေအတွက် SMS or Authenticator တွေ အစား Google Titan သို့မဟုတ် Yubikey တို့လိုမျိုး Hardware Token (Physical Key) တွေကို သုံးရင်တော့ ခံသာမယ်လို့ မျှော်လင့်ရပါတယ်။

Source: Internet

Keep Reading

"Pixnapping" သို့မဟုတ် Android ဖုန်းတွေဆီကအရေးကြီး အချက်အလက်တွေကို စက္ကန့် ၃၀ အတွင်း ခိုးယူနိုင်တဲ့တိုက်ခိုက်မှုအသစ်Graphic Designer တွေ အလုပ်ပြုတ်တော့မှာလားဆိုတဲ့ Nano Banana AIခရီးမသွားခင် ဘာသာစကားအသစ်သင်ဖို့ ကူညီပေးမယ့် AI လက်ထောက်အသစ်: Perplexityအနာဂတ်ပညာရေး၏ ခြေတစ်လှမ်းအစလုပ်ငန်းခွင်ထဲက AI: ဉာဏ်ရည်ကို သတ်သလား၊ အလုပ်ကို တွင်ကျယ်စေသလား?ဆူညံသံတွေကြောင့် နှေးလာတဲ့ Wi-Fi လိုင်းကို ၅မိနစ်အတွင်း ဘယ်လိုပြင်မလဲ၊ ဘာကြောင့် ဆူညံတာလဲ။ဒေါ်လာသန်းပေါင်းများစွာ ပျက်စီးခဲ့တဲ့ AWS Data Center စနစ်ချွတ်ယွင်းမှုကြီးအီလွန်မတ်နေ့စဥ်သုံး Power Bankတွေရဲ့ မမြင်နိုင်တဲ့ အန္တရာယ်Windows 10 ကို နှုတ်ဆက်ချိန်တန်ပြီ!