Pixnapping: Neuer Android-Angriff klaut 2FA-Codes in unter 30 Sekunden, ganz ohne Berechtigungen
Hallo Du, um keine News zu verpassen abonniere doch einfach kostenlos meine Kanäle, vielen Dank:
Sicherheitsexperten haben eine neuartige Angriffstechnik namens „Pixnapping“ entdeckt, die Android-Nutzer weltweit gefährden könnte. Die Methode ermöglicht es schädlichen Apps, vertrauliche Daten wie Zwei-Faktor-Authentifizierungscodes, Chatnachrichten oder Bankinformationen zu stehlen – und das, ohne dass das Opfer etwas bemerkt oder die App besondere Rechte benötigt.
Pixnapping nutzt eine Kombination aus legitimen Android-Schnittstellen und einem Hardware-basierten Seitenkanal namens „GPU.zip“. Dabei misst eine manipulierte App winzige Unterschiede in der Rendering-Zeit der Grafikeinheit, um Rückschlüsse auf die Farbe einzelner Bildschirmpixel zu ziehen. Diese Technik basiert auf einem Prinzip, das bereits 2013 in Webbrowsern bekannt war, wurde aber nun erstmals erfolgreich auf moderne Android-Smartphones übertragen.
Der Angriff verläuft in drei Phasen: Zunächst startet die schädliche Anwendung die Ziel-App – etwa Google Authenticator – und bringt sie dazu, sensible Inhalte anzuzeigen. Danach führt sie gezielte Grafikoperationen durch, deren Ausführungszeit von der jeweiligen Pixelfarbe abhängt. In der letzten Phase wertet sie diese Zeitmessungen aus, um den ursprünglichen Bildschirminhalt zu rekonstruieren. In Tests gelang es den Forschern so, 2FA-Codes innerhalb von weniger als 30 Sekunden zu extrahieren – bevor sie automatisch ablaufen.
Erfolgreiche Angriffe wurden auf aktuellen Modellen wie dem Pixel 6 bis Pixel 9 sowie dem Galaxy S25 unter Android 13 bis 16 nachgewiesen. Da die Methode auf zentralen Android-Mechanismen beruht, die auf nahezu allen Geräten identisch funktionieren, dürften auch Smartphones anderer Hersteller betroffen sein – nicht nur Geräte von Google oder Samsung.
Das Forschungsteam meldete die Schwachstelle im Februar 2025 an Google. Der Konzern stufte sie als „High Severity“ ein und registrierte sie unter der Kennung CVE-2025-48561. Als Sofortmaßnahme beschränkte Google bestimmte APIs. Doch die Experten fanden rasch einen Umweg, der die Schutzmaßnahme außer Kraft setzt. Eine dauerhafte Lösung erfordert tiefgreifende Änderungen am Android-Kern – etwa durch striktere Isolation zwischen Apps oder das Verhindern, dass fremde Anwendungen über sensible Inhalte rendern.
Das Problem liegt nicht in einer einzelnen App, sondern in der grundlegenden Architektur des Betriebssystems. Android erlaubt Apps grundsätzlich, grafische Operationen durchzuführen, die indirekt Informationen über andere Anwendungen preisgeben können. Solange diese Interaktionsmechanismen bestehen, bleibt das System anfällig für Seitenkanalangriffe wie Pixnapping.
Google plant weitere Sicherheitspatches für das Dezember-Update 2025. Bis dahin bleibt Android jedoch verwundbar. Nutzer können sich nur bedingt schützen – da keine Berechtigungen nötig sind, reicht es nicht, verdächtige Apps zu meiden. Experten raten daher zu besonderer Vorsicht bei der Installation unbekannter Anwendungen und empfehlen, 2FA-Codes nicht länger als nötig auf dem Bildschirm anzuzeigen.
Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!
