Pixnapping: Den smygande attacken som fångar vad du ser på Android

Ett forskarteam har avslöjat Pixnapping, En Attackteknik mot Android-telefoner som kan fånga det som visas på skärmen och extrahera privat data såsom 2FA-koder, meddelanden eller platser på några sekunder och utan att be om tillstånd.

Nyckeln är att missbruka vissa system-API:er och en GPU-sidokanal att härleda innehållet i de pixlar du ser; processen är osynlig och effektiv så länge informationen förblir synlig, medan Hemligheter som inte visas på skärmen kan inte stjälasGoogle har infört mildrande åtgärder relaterade till CVE-2025-48561, men författarna till upptäckten har påvisat undanflyktsvägar, och ytterligare förstärkning förväntas i Android-säkerhetsbulletinen i december.

Vad är Pixnapping och varför är det ett problem?

Namn kombinerar "pixel" och "kidnappning" eftersom attacken bokstavligen gör en "pixelkapning" för att rekonstruera information som visas i andra appar. Det är en utveckling av sidokanaltekniker som användes för flera år sedan i webbläsare, nu anpassade till det moderna Android-ekosystemet med smidigare och tystare exekvering.

Eftersom det inte krävs några särskilda tillstånd, Pixnapping undviker försvar baserat på behörighetsmodellen och fungerar nästan osynligt, vilket ökar risken för användare och företag som förlitar sig en del av sin säkerhet på det som visas flyktigt på skärmen.

Hur attacken genomförs

Generellt sett orkestrerar den skadliga appen en överlappande aktiviteter och synkroniserar rendering för att isolera specifika områden i gränssnittet där känslig data visas; utnyttjar sedan tidsskillnaden vid bearbetning av pixlar för att härleda deras värde (se hur Effektprofiler påverkar FPS).

• Gör att målappen visar data (till exempel en 2FA-kod eller känslig text).
• Döljer allt utom intresseområdet och manipulerar renderingsbildrutan så att en pixel "dominerar".
• Tolkar GPU-bearbetningstider (t.ex. fenomen av typen GPU.zip) och rekonstruerar innehållet.

Med upprepning och synkronisering härleder skadlig programvara tecken och sätter ihop dem igen med hjälp av OCR-teknikerTidsfönstret begränsar attacken, men om informationen förblir synlig i några sekunder är återställning möjlig.

Omfattning och berörda enheter

Akademikerna verifierade tekniken i Google Pixel 6, 7, 8 och 9 och i Samsung Galaxy S25, med Android-versionerna 13 till 16. Eftersom de utnyttjade API:erna är allmänt tillgängliga varnar de för att "nästan alla moderna Android-enheter" skulle kunna vara mottagliga.

I tester med TOTP-koder återställde attacken hela koden med hastigheter på cirka 73 %, 53 %, 29 % och 53 % på Pixel 6, 7, 8 respektive 9, och i genomsnittliga tider nära 14,3s; 25,8s; 24,9s och 25,3s, vilket gör att du kan komma i förväg innan tillfälliga koder löper ut.

Vilka data kan falla

Plus autentiseringskoder (Google Authenticator)visade forskare återställning av information från tjänster som Gmail- och Google-konton, meddelandeappar som Signal, finansiella plattformar som Venmo eller platsdata från Google Maps, Bland annat.

De varnar dig också om data som finns kvar på skärmen under längre perioder, till exempel fraser för plånboksåterställning eller engångsnycklar; lagrade men inte synliga element (t.ex. en hemlig nyckel som aldrig visas) ligger dock utanför Pixnappings omfattning.

Googles svar och patchstatus

Resultatet kommunicerades i förväg till Google, som klassade problemet som mycket allvarligt och publicerade en första åtgärd i samband med CVE-2025-48561Forskarna har dock hittat metoder för att undvika det, så En ytterligare patch har utlovats i decembernyhetsbrevet och samordning med Google och Samsung upprätthålls.

Den nuvarande situationen tyder på att en definitiv blockering kommer att kräva en översyn av hur Android hanterar rendering och överlägg mellan applikationer, eftersom attacken utnyttjar just dessa interna mekanismer.

Rekommenderade begränsningsåtgärder

För slutanvändare är det lämpligt att minska exponeringen av känsliga uppgifter på skärmen och välja nätfiskeresistent autentisering och sidokanaler, som till exempel FIDO2/WebAuthn med säkerhetsnycklar, och undviker att enbart förlita sig på TOTP-koder när det är möjligt.

• Håll din enhet uppdaterad och tillämpa säkerhetsbulletiner så snart de blir tillgängliga.
• Undvik att installera appar från overifierade källor och granska behörigheter och avvikande beteende.
• Håll inte återställningsfraser eller inloggningsuppgifter synliga; föredra hårdvara plånböcker att vakta nycklarna.
• Lås skärmen snabbt och begränsa förhandsvisningar av känsligt innehåll.

För produkt- och utvecklingsteam är det dags att granska autentiseringsflöden och minska exponeringsytan: minimera hemlig text på skärmen, införa ytterligare skydd i kritiska vyer och utvärdera övergången till kodfria metoder hårdvarubaserad.

Även om attacken kräver att informationen är synlig, är dess förmåga att fungera utan tillstånd och på mindre än en halv minut gör det till ett allvarligt hot: en sidokanalteknik som utnyttjar GPU-renderingstider för att läsa vad du ser på skärmen, med delvisa åtgärder idag och en mer omfattande lösning som väntar.

Relaterad artikel:

Galaxy S26 Ultra: Så här kommer den nya sekretessskärmen att se ut

Alberto navarro

Jag är en teknikentusiast som har gjort sina "nördar"-intressen till ett yrke. Jag har tillbringat mer än 10 år av mitt liv med att använda den senaste tekniken och mixtrat med alla typer av program av ren nyfikenhet. Nu har jag specialiserat mig på datateknik och tv-spel. Detta beror på att jag i mer än 5 år har arbetat med att skriva för olika webbplatser om teknik och videospel, skapa artiklar som försöker ge dig den information du behöver på ett språk som är begripligt för alla.

Om du har några frågor sträcker sig min kunskap från allt som rör operativsystemet Windows samt Android för mobiltelefoner. Och mitt engagemang är för dig, jag är alltid villig att spendera några minuter och hjälpa dig att lösa alla frågor du kan ha i den här internetvärlden.