Ας ξεκινήσουμε με το τί είναι το 2FA:
Το 2FA (Two-Factor Authentication – Διπλή Επαλήθευση Ταυτότητας) είναι ένας τρόπος να προστατεύεις τους λογαριασμούς σου προσθέτοντας ένα επιπλέον «κλείδωμα» πέρα από τον κωδικό σου. Δηλαδή, ακόμα κι αν κάποιος μάθει τον κωδικό σου, δεν μπορεί να συνδεθεί χωρίς το δεύτερο βήμα — συνήθως έναν προσωρινό κωδικό που στέλνεται στο κινητό σου ή που εμφανίζεται σε μια εφαρμογή όπως το Google Authenticator. Αυτός ο δεύτερος κωδικός αλλάζει κάθε λίγα δευτερόλεπτα και είναι μοναδικός, οπότε κάνει πολύ πιο δύσκολο για κάποιον να μπει στον λογαριασμό σου χωρίς άδεια. Είναι από τους πιο απλούς και αποτελεσματικούς τρόπους να προστατεύεις τα δεδομένα σου online.
Όμως, είναι έτσι τα πράγματα; Τί λένε οι hackers γι’ αυτό;
Οι κωδικοί 2FA σου μπορούν να κλαπούν σε 26 δευτερόλεπτα. Η εφαρμογή που το έκανε; Έμοιαζε τελείως ακίνδυνη. 😏
CVE-2025-48561. Ο νέος εφιάλτης του Android.
Ερευνητές από το UC Berkeley, Carnegie Mellon και University of Washington απέδειξαν κάτι τρομακτικό: κακόβουλες εφαρμογές μπορούν να «κλέψουν» ό,τι υπάρχει στην οθόνη σου pixel-pixel χωρίς να ζητήσουν ούτε μία άδεια.
Τι συμβαίνει:
Εγκαθιστάς μια εφαρμογή. Φαίνεται αθώα — ίσως ένα παιχνίδι ή ένα βοηθητικό εργαλείο. Όμως στο παρασκήνιο τρέχει κάτι που οι ερευνητές ονόμασαν Pixnapping.
Ο τρόπος της επίθεσης:
→ Η εφαρμογή χρησιμοποιεί μια νόμιμη λειτουργία του Android για να «θολώνει» την οθόνη (blur API).
→ Μετράει πόσο χρόνο χρειάζεται κάθε pixel για να εμφανιστεί.
→ Διαφορετικά χρώματα επηρεάζουν τον χρόνο απόδοσης.
→ Από αυτά τα χρονικά μοτίβα ανακατασκευάζει τι βλέπεις στην οθόνη.
Τι κατάφεραν να κλέψουν:
→ Κωδικούς 2FA από Google Authenticator (επιτυχία 73% σε Pixel 6)
→ Ιδιωτικά μηνύματα από Signal (παράκαμψαν την προστασία screenshots)
→ Email από Gmail
→ Συναλλαγές Venmo
→ Φράσεις ανάκτησης (seed) πορτοφολιών κρυπτονομισμάτων κατά το backup
→ Ιστορικό τοποθεσιών από Google Maps
Ταχύτητα: 0.6 έως 2.1 pixels το δευτερόλεπτο. Ακούγεται αργό; ένας 6ψήφιος κωδικός 2FA χρειάζεται 14–26 δευτερόλεπτα — και ο κωδικός είναι έγκυρος για 30 δευτερόλεπτα. Προλαβαίνουν τον χρόνο.
Συσκευές που επηρεάζονται:
→ Google Pixel 6, 7, 8, 9
→ Samsung Galaxy S25
→ Android 13 έως 16
Παρατήρηση: το Samsung S25 ήταν πιο δύσκολο στόχο λόγω θορύβου στο hardware. Οι Pixel συσκευές ήταν πιο ευάλωτες.
Χρονοδιάγραμμα:
→ Φεβρουάριος 2025: Οι ερευνητές ενημερώνουν την Google
→ Σεπτέμβριος 2025: Η Google βγάζει διόρθωση (patch)
→ Οκτώβριος 2025: Οι ερευνητές βρίσκουν τρόπο να παρακάμψουν τη διόρθωση
→ Δεκέμβριος 2025: Προγραμματίζεται δεύτερο patch
Το πραγματικό πρόβλημα; Η βασική ευπάθεια στο hardware (GPU.zip) παραμένει ανεπιδιόρθωτη. Κανένας κατασκευαστής GPU δεν έχει δεσμευτεί να το διορθώσει.
Η Google λέει ότι δεν έχει καταγραφεί μαζική εκμετάλλευση ακόμα. Όμως ο κώδικας απόδειξης της ιδέας υπάρχει — και οι επιτιθέμενοι τώρα ξέρουν ότι δουλεύει.
Τι μπορείς να κάνεις τώρα:
→ Εγκατάστησε αμέσως τις ενημερώσεις ασφαλείας του Android.
→ Κατέβαζε εφαρμογές μόνο από το Google Play Store.
→ Για κρυπτονομίσματα: χρησιμοποίησε hardware wallets — μη δείχνεις τις φράσεις ανάκτησης στο τηλέφωνό σου.
→ Έλεγχε τακτικά τις εγκατεστημένες εφαρμογές και διέγραψε αυτές που δεν χρησιμοποιείς.
Το πιο μεγάλο μάθημα: Ακόμα και εφαρμογές χωρίς δικαιώματα μπορούν να είναι επικίνδυνες. Μια «αθώα» βοηθητική εφαρμογή μπορεί αυτή τη στιγμή να διαβάζει όλη σου την οθόνη.
Γι’ αυτό υπάρχουν οι ηθικοί χάκερ: βρίσκουν αυτά τα προβλήματα πριν τα εκμεταλλευτούν οι κακοί.
Πηγή: Ethical Hack Group
ΟΝΕΙΡΟΚΥΚΛΟΙ | ONEIROKYKLOI (DREAMCIRCLES) 