- Pixnapping kann 2FA Coden an aner Daten um Bildschierm a manner wéi 30 Sekonnen ouni Erlaabnes klauen.
- Et funktionéiert andeems et Android APIs an e GPU-Säitekanal mëssbraucht fir Pixel vun aneren Apps ofzeleeden.
- Getest op Pixel 6-9 a Galaxy S25; den initialen Patch (CVE-2025-48561) blockéiert et net komplett.
- Et ass recommandéiert FIDO2/WebAuthn ze benotzen, sensibel Donnéeën um Bildschierm ze minimiséieren an Apps aus zweifelhafte Quellen ze vermeiden.
En Team vu Fuerscher huet opgedeckt Pixnapping, eng Attacktechnik géint Android Telefonen, déi fäeg sinn, dat wat um Bildschierm ugewise gëtt ze erfassen an privat Donnéeën ze extrahéieren. wéi z.B. 2FA Coden, Messagen oder Standuerter a Sekonnen ouni Erlaabnes ze froen.
De Schlëssel ass et, bestëmmte System-APIen ze mëssbrauchen an e GPU-Säitekanal fir den Inhalt vun de Pixelen, déi Dir gesitt, ofzeleeden; de Prozess ass onsichtbar an effektiv, soulaang d'Informatioun sichtbar bleift, wärend Geheimnisser, déi net um Bildschierm gewise ginn, kënnen net geklaut ginnGoogle huet Mitigatiounsmoossnamen agefouert, déi am Zesummenhang mat CVE-2025-48561, awer d'Auteure vun der Entdeckung hunn Ausweichweeër nogewisen, a weider Verstäerkungen ginn am Android Sécherheetsbulletin vum Dezember erwaart.
Wat ass Pixnapping a firwat ass et e Problem?
Den Numm kombinéiert "Pixel" an "Entféierung" well den Ugrëff wierklech e "Pixel-Kapéieren" fir Informatiounen ze rekonstruéieren, déi an aneren Apps erschéngen. Et ass eng Evolutioun vu Säitekanaltechniken, déi viru Jore a Browser benotzt goufen, an elo un dat modernt Android-Ökosystem mat enger méi glatterer a roueger Ausféierung ugepasst sinn.
Well et keng speziell Genehmegungen erfuerdert, Pixnapping vermeit Verteidegung baséiert op dem Erlaabnismodell an funktionéiert bal onsichtbar, wat de Risiko fir Benotzer a Firmen erhéicht, déi en Deel vun hirer Sécherheet op dat vertrauen, wat flüchteg um Bildschierm erschéngt.
Wéi den Ugrëff ausgeféiert gëtt
Am Allgemengen organiséiert déi béiswëlleg App eng iwwerlappend Aktivitéiten a synchroniséiert d'Rendering fir spezifesch Beräicher vun der Interface ze isoléieren, wou sensibel Donnéeën ugewise ginn; dann notzt den Zäitënnerscheed bei der Veraarbechtung vu Pixelen aus, fir hire Wäert ofzeleeën (kuckt wéi Leeschtungsprofiler beaflossen d'FPS).
- Verursaacht datt d'Zil-App d'Donnéeën uweise kann (zum Beispill en 2FA-Code oder sensiblen Text).
- Verstoppt alles ausser dem Interessenberäich a manipuléiert de Renderingframe sou datt ee Pixel "dominéiert".
- Interpretéiert d'GPU-Veraarbechtungszäiten (z.B. GPU.zip-Typ-Phänomen) an rekonstruéiert den Inhalt.
Mat Widderhuelung a Synchroniséierung deduzéiert d'Malware Zeechen a setzt se nei zesummen mat Hëllef vun ... OCR TechnikenD'Zäitfenster limitéiert den Ugrëff, awer wann d'Donnéeë fir e puer Sekonne sichtbar bleiwen, ass eng Erhuelung méiglech.
Ëmfang an betraffe Geräter
D'Akademiker hunn d'Technik verifizéiert Google Pixel 6, 7, 8 an 9 y en el Samsung Galaxy S25, mat Android Versiounen 13 bis 16. Well déi ausgenotzt APIen wäit verfügbar sinn, warnen si datt "bal all modern Androiden" kéint ufälleg sinn.
An Tester mat TOTP-Coden huet den Ugrëff de ganze Code mat Raten vun ongeféier erëmfonnt 73%, 53%, 29% an 53% op Pixel 6, 7, 8 an 9, respektiv, an an Duerchschnëttszäiten no bei 14,3 Sekonnen; 25,8 Sekonnen; 24,9 Sekonnen an 25,3 Sekonnen, sou datt Dir virum Oflaf vun temporäre Coden kënnt sinn.
Wéi eng Donnéeë kënne falen
Zousätzlech zu Authentifikatiounscoden (Google Authenticator), hunn d'Fuerscher gewisen, datt Informatioune vu Servicer wéi Gmail a Google Konten, Messagerie-Apps wéi Signal, Finanzplattforme wéi Venmo oder Standuertdaten aus Google Mapsënner anerem.
Si alarméieren Iech och iwwer Daten, déi méi laang um Bildschierm bleiwen, wéi z.B. Ausdréck fir d'Erhuelung vum Portemonnaie oder Eenzelschlësselen; gespäichert, awer net sichtbar Elementer (z.B. e Geheimschlëssel, deen ni ugewise gëtt) falen awer ausserhalb vum Ëmfang vu Pixnapping.
Google Äntwert a Patch Status
D'Resultat gouf am Viraus u Google matgedeelt, déi de Problem als héich schwéier bezeechent hunn an eng éischt Léisung publizéiert hunn, déi domat verbonnen ass. CVE-2025-48561Wéi och ëmmer, hunn d'Fuerscher Methode fonnt fir dëst ze vermeiden, sou En zousätzleche Patch gouf am Dezember Newsletter versprach an d'Koordinatioun mat Google a Samsung gëtt erhale gelooss.
Déi aktuell Situatioun léisst dovun ausgoen, datt eng definitiv Blockéierung eng Iwwerpréiwung vun der Aart a Weis wéi Android mat ... ëmgeet, erfuerdert. Rendering an Overlays tëscht Applikatiounen, well den Ugrëff genee déi intern Mechanismen ausnotzt.
Recommandéiert Mitigatiounsmoossnamen
Fir Endbenotzer ass et ubruecht, d'Präsenz vu sensiblen Donnéeën um Bildschierm ze reduzéieren an eng phishing-resistent Authentifikatioun an Niewenkanäl ze wielen, wéi z.B. FIDO2/WebAuthn mat Sécherheetsschlësselen, andeems se sou wäit wéi méiglech sech ausschliisslech op TOTP-Coden verloossen.
- Halt den Apparat um neiste Stand a Sécherheetsbulletinen uwenden, soubal se verfügbar sinn.
- Vermeit d'Installatioun vun Apps vun net verifizéiert Quellen a Berechtigungen an anomal Verhalen iwwerpréiwen.
- Halt keng Erhuelungsphrasen oder Umeldungsinformatiounen sichtbar; léiwer Hardware-Portemonnaien Schlësselen ze schützen.
- Spärt de Bildschierm séier a limitéieren d'Virschaue vu sensiblen Inhalter.
Fir Produkt- an Entwécklungsteams ass et Zäit fir Authentifikatiounsflëss iwwerpréiwen an d'Beliichtungsfläch reduzéieren: geheimen Text um Bildschierm miniméieren, zousätzlech Schutzmoossnamen a kriteschen Usiichten aféieren an den Iwwergank op d'Beliichtung evaluéieren codefräi Methoden Hardware-baséiert.
Och wann den Ugrëff d'Informatioun sichtbar verlaangt, ass seng Fäegkeet ze operéieren ouni Erlaabnes an a manner wéi enger hallwer Minutt mécht et zu enger eescht Bedrohung: eng Säitekanaltechnik, déi vun der GPU-Renderingzäiten fir ze liesen, wat Dir um Bildschierm gesitt, mat deelweisen Ofwiermoossnamen haut an enger méi déiwer Léisung, déi amgaang ass.
Ech sinn en Technologie-Enthusiast, deen seng "Geek" Interesse an e Beruff ëmgewandelt huet. Ech hu méi wéi 10 Joer vu mengem Liewen verbruecht mat modernste Technologie a mat all Zorte vu Programmer aus purer Virwëtzegkeet ze manipuléieren. Elo hunn ech op Computertechnologie a Videospiller spezialiséiert. Dëst ass well ech zënter méi wéi 5 Joer fir verschidde Websäiten iwwer Technologie a Videospiller geschriwwen hunn, Artikelen erstallt déi probéieren Iech d'Informatioun ze ginn déi Dir braucht an enger Sprooch déi jidderee verständlech ass.
Wann Dir Froen hutt, da läit mäi Wëssen vun allem wat mam Windows Betriebssystem verbonnen ass, souwéi Android fir Handyen. A mäi Engagement ass fir Iech, ech sinn ëmmer bereet e puer Minutten ze verbréngen an Iech ze hëllefen all Froen ze léisen déi Dir an dëser Internetwelt hutt.