- Pixnapping dapat mencuri kode 2FA dan data lain di layar dalam waktu kurang dari 30 detik tanpa izin.
- Ia bekerja dengan menyalahgunakan API Android dan saluran sisi GPU untuk menyimpulkan piksel dari aplikasi lain.
- Diuji pada Pixel 6-9 dan Galaxy S25; patch awal (CVE-2025-48561) tidak sepenuhnya memblokirnya.
- Disarankan untuk menggunakan FIDO2/WebAuthn, meminimalkan data sensitif di layar, dan menghindari aplikasi dari sumber yang meragukan.
Sebuah tim peneliti telah mengungkapkan Penculikan, A Teknik serangan terhadap ponsel Android yang mampu menangkap apa yang ditampilkan di layar dan mengekstrak data pribadi seperti kode 2FA, pesan atau lokasi dalam hitungan detik dan tanpa meminta izin.
Kuncinya adalah menyalahgunakan API sistem tertentu dan Saluran samping GPU untuk menyimpulkan konten piksel yang Anda lihat; prosesnya tidak terlihat dan efektif selama informasinya tetap terlihat, sementara Rahasia yang tidak ditampilkan di layar tidak dapat dicuriGoogle telah memperkenalkan mitigasi yang terkait dengan CVE-2025-48561, tetapi penulis penemuan tersebut telah menunjukkan jalur penghindaran, dan penguatan lebih lanjut diharapkan dalam buletin keamanan Android bulan Desember.
Apa itu Pixnapping dan mengapa hal itu menjadi perhatian?
Nama menggabungkan “piksel” dan “penculikan” karena serangan itu secara harfiah membuat “pembajakan piksel” untuk merekonstruksi informasi yang muncul di aplikasi lain. Ini merupakan evolusi dari teknik side-channel yang digunakan bertahun-tahun lalu di peramban, kini diadaptasi ke ekosistem Android modern dengan eksekusi yang lebih lancar dan senyap.
Karena tidak memerlukan izin khusus, Pixnapping menghindari pertahanan berdasarkan model izin dan beroperasi hampir tak terlihat, yang meningkatkan risiko bagi pengguna dan perusahaan yang mengandalkan sebagian keamanan mereka pada apa yang muncul sekilas di layar.
Bagaimana serangan itu dilakukan
Secara umum, aplikasi jahat mengatur aktivitas yang tumpang tindih dan menyinkronkan rendering untuk mengisolasi area tertentu dari antarmuka tempat data sensitif ditampilkan; kemudian memanfaatkan perbedaan waktu saat memproses piksel untuk menyimpulkan nilainya (lihat caranya Profil daya memengaruhi FPS).
- Menyebabkan aplikasi target menampilkan data (misalnya, kode 2FA atau teks sensitif).
- Menyembunyikan semuanya kecuali area yang diminati dan memanipulasi bingkai rendering sehingga satu piksel "mendominasi".
- Menafsirkan waktu pemrosesan GPU (misalnya fenomena tipe GPU.zip) dan merekonstruksi kontennya.
Dengan pengulangan dan sinkronisasi, malware menyimpulkan karakter dan menyusunnya kembali menggunakan Teknik OCRJendela waktu membatasi serangan, tetapi jika data tetap terlihat selama beberapa detik, pemulihan mungkin dilakukan.
Cakupan dan perangkat yang terpengaruh
Para akademisi telah memverifikasi teknik tersebut di Google Pixel 6, 7, 8 dan 9 dan di dalam Samsung Galaxy S25, dengan versi Android 13 hingga 16. Karena API yang dieksploitasi tersedia secara luas, mereka memperingatkan bahwa “hampir semua Android modern” bisa jadi rentan.
Dalam pengujian dengan kode TOTP, serangan tersebut memulihkan seluruh kode dengan tingkat sekitar 73%, 53%, 29% dan 53% pada Pixel 6, 7, 8 dan 9, masing-masing, dan dalam waktu rata-rata mendekati 14,3 detik; 25,8 detik; 24,9 detik dan 25,3 detik, yang memungkinkan Anda mengantisipasi kedaluwarsanya kode sementara.
Data apa yang bisa jatuh
Sebagai tambahan kode autentikasi (Google Authenticator), para peneliti menunjukkan pemulihan informasi dari layanan seperti Gmail dan akun Google, aplikasi perpesanan seperti Signal, platform keuangan seperti Venmo atau data lokasi dari Google Mapsantara lain.
Mereka juga memberi tahu Anda tentang data yang tetap berada di layar untuk jangka waktu yang lebih lama, seperti frasa pemulihan dompet atau kunci satu kali; namun, elemen yang tersimpan tetapi tidak terlihat (misalnya, kunci rahasia yang tidak pernah diperlihatkan) berada di luar cakupan Pixnapping.
Respons Google dan Status Patch
Temuan ini dikomunikasikan terlebih dahulu kepada Google, yang kemudian melabeli masalah tersebut sebagai masalah yang sangat serius dan menerbitkan mitigasi awal yang terkait dengan CVE-2025-48561Namun, para peneliti menemukan metode untuk menghindarinya, jadi Patch tambahan telah dijanjikan di buletin Desember dan koordinasi dengan Google dan Samsung tetap terjaga.
Situasi saat ini menunjukkan bahwa pemblokiran definitif akan memerlukan peninjauan tentang bagaimana Android menangani rendering dan overlay antar aplikasi, karena serangan tersebut mengeksploitasi mekanisme internal tersebut.
Tindakan mitigasi yang direkomendasikan
Bagi pengguna akhir, disarankan untuk mengurangi paparan data sensitif di layar dan memilih otentikasi tahan phishing dan saluran samping, seperti FIDO2/WebAuthn dengan kunci keamanan, sebisa mungkin hindari ketergantungan hanya pada kode TOTP.
- Selalu perbarui perangkat Anda dan menerapkan buletin keamanan segera setelah tersedia.
- Hindari menginstal aplikasi dari sumber yang belum diverifikasi dan meninjau izin dan perilaku anomali.
- Jangan biarkan frasa pemulihan atau kredensial terlihat; lebih baik dompet perangkat keras untuk menjaga kunci.
- Kunci layar dengan cepat dan membatasi pratinjau konten sensitif.
Bagi tim produk dan pengembangan, sekaranglah saatnya untuk meninjau alur autentikasi dan mengurangi permukaan paparan: meminimalkan teks rahasia di layar, memperkenalkan perlindungan tambahan dalam tampilan kritis dan mengevaluasi transisi ke metode bebas kode berbasis perangkat keras.
Meskipun serangan ini memerlukan informasi yang terlihat, kemampuannya untuk beroperasi tanpa izin dan dalam waktu kurang dari setengah menit menjadikannya ancaman serius: teknik saluran samping yang memanfaatkan Waktu rendering GPU untuk membaca apa yang Anda lihat di layar, dengan mitigasi parsial hari ini dan perbaikan lebih mendalam yang tertunda.
Saya seorang penggila teknologi yang telah mengubah minat "geek"-nya menjadi sebuah profesi. Saya telah menghabiskan lebih dari 10 tahun hidup saya menggunakan teknologi mutakhir dan mengutak-atik semua jenis program hanya karena rasa ingin tahu. Sekarang saya memiliki spesialisasi dalam teknologi komputer dan video game. Hal ini karena selama lebih dari 5 tahun saya telah menulis untuk berbagai website tentang teknologi dan video game, membuat artikel yang berupaya memberikan informasi yang Anda butuhkan dalam bahasa yang dapat dimengerti oleh semua orang.
Jika Anda memiliki pertanyaan, pengetahuan saya berkisar dari segala sesuatu yang berhubungan dengan sistem operasi Windows serta Android untuk ponsel. Dan komitmen saya adalah kepada Anda, saya selalu bersedia meluangkan beberapa menit dan membantu Anda menyelesaikan pertanyaan apa pun yang mungkin Anda miliki di dunia internet ini.