- Durch Pixnapping können 2FA-Codes und andere Bildschirmdaten in weniger als 30 Sekunden ohne Erlaubnis gestohlen werden.
- Es funktioniert, indem Android-APIs und ein GPU-Nebenkanal missbraucht werden, um Pixel aus anderen Apps abzuleiten.
- Getestet auf Pixel 6–9 und Galaxy S25; der erste Patch (CVE-2025-48561) blockiert es nicht vollständig.
- Es wird empfohlen, FIDO2/WebAuthn zu verwenden, sensible Daten auf dem Bildschirm zu minimieren und Apps aus zweifelhaften Quellen zu vermeiden.
Ein Forscherteam hat herausgefunden Pixnappingeinem Angriffstechnik gegen Android-Telefone, die in der Lage ist, die Bildschirmanzeige zu erfassen und private Daten zu extrahieren wie 2FA-Codes, Nachrichten oder Standorte in Sekundenschnelle und ohne um Erlaubnis zu fragen.
Der Schlüssel liegt darin, bestimmte System-APIs zu missbrauchen und GPU-Seitenkanal um den Inhalt der Pixel abzuleiten, die Sie sehen; der Prozess ist unsichtbar und effektiv, solange die Informationen sichtbar bleiben, während Geheimnisse, die nicht auf dem Bildschirm angezeigt werden, können nicht gestohlen werdenGoogle hat Maßnahmen zur Schadensbegrenzung eingeführt, die mit CVE-2025-48561, aber die Autoren der Entdeckung haben Umgehungsmöglichkeiten aufgezeigt, und im Android-Sicherheitsbulletin vom Dezember werden weitere Verstärkungen erwartet.
Was ist Pixnapping und warum ist es ein Problem?
Name kombiniert „Pixel“ und „Entführung“ denn der Angriff macht buchstäblich eine „Pixel-Hijacking“ um Informationen zu rekonstruieren, die in anderen Apps erscheinen. Es handelt sich um eine Weiterentwicklung der Side-Channel-Techniken, die vor Jahren in Browsern verwendet wurden und nun mit einer reibungsloseren, leiseren Ausführung an das moderne Android-Ökosystem angepasst sind.
Da keine besonderen Genehmigungen erforderlich sind, Pixnapping vermeidet Abwehrmechanismen, die auf dem Berechtigungsmodell basieren und arbeitet nahezu unsichtbar, was das Risiko für Benutzer und Unternehmen erhöht, die einen Teil ihrer Sicherheit auf das verlassen, was flüchtig auf dem Bildschirm erscheint.
Wie der Angriff ausgeführt wird
Im Allgemeinen orchestriert die bösartige App eine überlappende Aktivitäten und synchronisiert das Rendering, um bestimmte Bereiche der Schnittstelle zu isolieren, in denen vertrauliche Daten angezeigt werden; dann nutzt es den Zeitunterschied bei der Verarbeitung von Pixeln, um ihren Wert abzuleiten (siehe wie Leistungsprofile beeinflussen FPS).
- Bewirkt, dass die Ziel-App die Daten anzeigt (z. B. ein 2FA-Code oder vertraulicher Text).
- Blendet alles außer dem Bereich von Interesse aus und manipuliert den Rendering-Frame so, dass ein Pixel „dominiert“.
- Interpretiert GPU-Verarbeitungszeiten (z. B. Phänomen vom Typ GPU.zip) und rekonstruiert den Inhalt.
Durch Wiederholung und Synchronisierung erkennt die Malware Zeichen und setzt sie mithilfe OCR-TechnikenDas Zeitfenster begrenzt den Angriff, aber wenn die Daten einige Sekunden lang sichtbar bleiben, ist eine Wiederherstellung möglich.
Umfang und betroffene Geräte
Die Wissenschaftler überprüften die Technik in Google Pixel 6, 7, 8 und 9 und in der Samsung Galaxy S25, mit Android-Versionen 13 bis 16. Da die ausgenutzten APIs weit verbreitet sind, warnen sie, dass „fast alle modernen Androiden“ könnte anfällig sein.
In Tests mit TOTP-Codes konnte der Angriff den gesamten Code mit Raten von ca. 73 %, 53 %, 29 % und 53 % auf Pixel 6, 7, 8 und 9, und in durchschnittlichen Zeiten nahe 14,3 s; 25,8 s; 24,9 s und 25,3 s, sodass Sie dem Ablauf temporärer Codes zuvorkommen.
Welche Daten können fallen
Plus Authentifizierungscodes (Google Authenticator)zeigten Forscher die Wiederherstellung von Informationen aus Diensten wie Gmail- und Google-Konten, Messaging-Apps wie Signal, Finanzplattformen wie Venmo oder Standortdaten von Google Maps, Unter anderem.
Sie weisen Sie auch auf Daten hin, die über einen längeren Zeitraum auf dem Bildschirm verbleiben, wie z. B. Sätze zur Wallet-Wiederherstellung oder Einmalschlüssel; gespeicherte, aber nicht sichtbare Elemente (z. B. ein geheimer Schlüssel, der nie angezeigt wird) fallen jedoch nicht in den Anwendungsbereich von Pixnapping.
Google-Antwort und Patch-Status
Der Befund wurde Google im Voraus mitgeteilt, das das Problem als schwerwiegend einstufte und eine erste Abhilfemaßnahme im Zusammenhang mit CVE-2025-48561Forscher haben jedoch Methoden gefunden, um es zu umgehen, so Ein zusätzlicher Patch wurde im Dezember-Newsletter versprochen und die Koordination mit Google und Samsung wird aufrechterhalten.
Die aktuelle Situation legt nahe, dass eine endgültige Sperre eine Überprüfung der Handhabung von Android erfordert. Rendering und Overlays zwischen Anwendungen, da der Angriff genau diese internen Mechanismen ausnutzt.
Empfohlene Minderungsmaßnahmen
Für Endbenutzer ist es ratsam, die Offenlegung sensibler Daten auf dem Bildschirm zu reduzieren und sich für Phishing-resistente Authentifizierung und Nebenkanäle zu entscheiden, wie z. B. FIDO2/WebAuthn mit Sicherheitsschlüsseln, wobei nach Möglichkeit die ausschließliche Verwendung von TOTP-Codes vermieden wird.
- Gerät aktuell halten und wenden Sie Sicherheitsbulletins an, sobald diese verfügbar sind.
- Vermeiden Sie die Installation von Apps von unbestätigte Quellen und überprüfen Sie Berechtigungen und anomales Verhalten.
- Halten Sie Wiederherstellungsphrasen oder Anmeldeinformationen nicht sichtbar; bevorzugen Sie Hardware-Wallets um Schlüssel zu bewachen.
- Sperren Sie den Bildschirm schnell und beschränken Sie die Vorschau sensibler Inhalte.
Für Produkt- und Entwicklungsteams ist es an der Zeit, Überprüfen der Authentifizierungsabläufe und reduzieren Sie die Expositionsfläche: Minimieren Sie geheimen Text auf dem Bildschirm, führen Sie zusätzliche Schutzmaßnahmen in kritischen Ansichten ein und bewerten Sie den Übergang zu Codefreie Methoden hardwarebasiert.
Obwohl für den Angriff die Sichtbarkeit der Informationen erforderlich ist, ist seine Fähigkeit, ohne Erlaubnis und in weniger als einer halben Minute macht es zu einer ernsthaften Bedrohung: eine Seitenkanaltechnik, die die GPU-Rendering-Zeiten um zu lesen, was Sie auf dem Bildschirm sehen. Teilweise wurden heute Abhilfemaßnahmen ergriffen, eine umfassendere Lösung steht noch aus.
Ich bin ein Technik-Enthusiast, der seine „Geek“-Interessen zum Beruf gemacht hat. Ich habe mehr als 10 Jahre meines Lebens damit verbracht, modernste Technologie zu nutzen und aus purer Neugier an allen möglichen Programmen herumzubasteln. Mittlerweile habe ich mich auf Computertechnik und Videospiele spezialisiert. Das liegt daran, dass ich seit mehr als fünf Jahren für verschiedene Websites zum Thema Technologie und Videospiele schreibe und Artikel erstelle, die Ihnen die Informationen, die Sie benötigen, in einer für jeden verständlichen Sprache vermitteln möchten.
Bei Fragen reicht mein Wissen von allem rund um das Windows-Betriebssystem bis hin zu Android für Mobiltelefone. Und mein Engagement gilt Ihnen, ich bin immer bereit, ein paar Minuten zu investieren und Ihnen bei der Lösung aller Fragen in dieser Internetwelt zu helfen.