Pixnapping: Neue Android-Attacke stiehlt 2FA-Codes in nur Sekunden
Sicherheitsforscher haben einen neuen Android-Angriff namens "Pixnapping" entdeckt, der sensible Daten wie 2FA-Codes und private Nachrichten binnen 30 Sekunden stehlen kann. Die Attacke funktioniert ohne App-Berechtigungen und betrifft Millionen Geräte.
Die Attacke basiert auf einer zwölf Jahre alten Browser-Technik, die für moderne Android-Geräte adaptiert wurde. Pixnapping ermöglicht es einer schädlichen Android-App, Pixel von anderen Apps oder Websites zu "schnappen", indem sie Android-APIs und einen GPU-Hardware-Seitenkanal namens "GPU.zip" ausnutzt, der Informationen darüber preisgibt, wie die Grafikhardware visuelle Daten verarbeitet.
Wie die Webseite zu Pixnapping zeigt (via The Register), demonstrierten die Forscher erfolgreiche Angriffe auf modernen Google- und Samsung-Telefonen. Tests erfolgten auf Pixel 6 bis Pixel 9 sowie Galaxy S25 mit Android-Versionen 13 bis 16. Besonders alarmierend: Bei Google Authenticator können 2FA-Codes in weniger als 30 Sekunden gestohlen werden, bevor sie ablaufen.
Das Verfahren nutzt dabei eine Schwäche in der Art, wie Android-Geräte Grafikdaten verarbeiten. Verschiedene Pixelfarben benötigen unterschiedliche Rechenzeiten bei der GPU-Verarbeitung. Durch die Messung winziger Zeitunterschiede können Angreifer Rückschlüsse auf die dargestellten Inhalte ziehen - ein Prinzip, das bereits 2013 in Webbrowsern entdeckt wurde.
Die Forscher konnten zeigen, dass sich mit der Methode nicht nur 2FA-Codes extrahieren lassen, sondern auch private Nachrichten, Passwörter und Finanzinformationen aus verschiedenen Apps. Das macht Pixnapping zu einer besonders vielseitigen Bedrohung für Android-Nutzer.
Stand Oktober 2025 bleibt Android verwundbar. Die Behebung von Pixnapping wird wahrscheinlich Änderungen an den Android-Kernmechanismen erfordern, beispielsweise indem Apps daran gehindert werden, dass andere Apps über ihre sensiblen Inhalte zeichnen. Google plant zusätzliche Patches für das Dezember-Sicherheitsbulletin.
Die Komplexität der Schwachstelle zeigt sich daran, dass sie tief in der Android-Architektur verwurzelt ist. Das Problem liegt nicht nur in einzelnen Apps, sondern in der grundlegenden Art, wie das Betriebssystem Grafikdaten verarbeitet und Apps miteinander interagieren lässt.
Da die von Pixnapping genutzten Kernmechanismen typischerweise in allen Android-Geräten verfügbar sind, betrifft die Schwachstelle wahrscheinlich eine breite Palette von Smartphones verschiedener Hersteller. Die Forscher testeten zwar nur Google- und Samsung-Geräte, gehen aber davon aus, dass auch andere Hersteller betroffen sein könnten.
Nutzer sollten Android-Updates sofort installieren und nur Apps aus vertrauenswürdigen Quellen laden. Was haltet ihr von dieser neuen Bedrohung für die Smartphone-Sicherheit?
Siehe auch:
Neue Bedrohung für Android-Nutzer
Ein internationales Forscherteam hat eine gefährliche neue Angriffsmethode namens "Pixnapping" entwickelt, die es schädlichen Android-Apps ermöglicht, sensible Bildschirmdaten anderer Anwendungen zu stehlen. Das Verfahren nutzt sowohl Android-Betriebssystemfunktionen als auch einen Hardware-Seitenkanal zur Extraktion von Bildschirmdaten wie Zwei-Faktor-Authentifizierungscodes, privaten Nachrichten und Finanzinformationen. Das Besondere: Die Angreifer-App benötigt keinerlei Systemberechtigungen und Nutzer bemerken den Datendiebstahl nicht.Die Attacke basiert auf einer zwölf Jahre alten Browser-Technik, die für moderne Android-Geräte adaptiert wurde. Pixnapping ermöglicht es einer schädlichen Android-App, Pixel von anderen Apps oder Websites zu "schnappen", indem sie Android-APIs und einen GPU-Hardware-Seitenkanal namens "GPU.zip" ausnutzt, der Informationen darüber preisgibt, wie die Grafikhardware visuelle Daten verarbeitet.
Wie die Webseite zu Pixnapping zeigt (via The Register), demonstrierten die Forscher erfolgreiche Angriffe auf modernen Google- und Samsung-Telefonen. Tests erfolgten auf Pixel 6 bis Pixel 9 sowie Galaxy S25 mit Android-Versionen 13 bis 16. Besonders alarmierend: Bei Google Authenticator können 2FA-Codes in weniger als 30 Sekunden gestohlen werden, bevor sie ablaufen.
Dreistufiger Angriffsmechanismus
Der Pixnapping-Angriff läuft in drei koordinierten Phasen ab. Zunächst öffnet die schädliche App die Zielanwendung wie Google Authenticator und veranlasst das System, sensible Informationen zur Darstellung zu übermitteln. Anschließend führt sie grafische Operationen auf einzelnen Pixeln aus, deren Rendering-Zeit von der Pixelfarbe abhängt. Schließlich misst sie die Rendering-Zeiten präzise, um die ursprünglichen Bildschirminhalte zu rekonstruieren.Das Verfahren nutzt dabei eine Schwäche in der Art, wie Android-Geräte Grafikdaten verarbeiten. Verschiedene Pixelfarben benötigen unterschiedliche Rechenzeiten bei der GPU-Verarbeitung. Durch die Messung winziger Zeitunterschiede können Angreifer Rückschlüsse auf die dargestellten Inhalte ziehen - ein Prinzip, das bereits 2013 in Webbrowsern entdeckt wurde.
Die Forscher konnten zeigen, dass sich mit der Methode nicht nur 2FA-Codes extrahieren lassen, sondern auch private Nachrichten, Passwörter und Finanzinformationen aus verschiedenen Apps. Das macht Pixnapping zu einer besonders vielseitigen Bedrohung für Android-Nutzer.
Googles unvollständige Gegenmaßnahmen
Im Februar meldete das Forschungsteam seine Erkenntnisse an Google, die Pixnapping als "High Severity"-Schwachstelle einstuften und unter CVE-2025-48561 im Common Vulnerabilities and Exposures-System verfolgten. Google versuchte das Problem durch API-Beschränkungen zu beheben, doch die Forscher entdeckten bereits einen Workaround für die implementierten Schutzmaßnahmen.Stand Oktober 2025 bleibt Android verwundbar. Die Behebung von Pixnapping wird wahrscheinlich Änderungen an den Android-Kernmechanismen erfordern, beispielsweise indem Apps daran gehindert werden, dass andere Apps über ihre sensiblen Inhalte zeichnen. Google plant zusätzliche Patches für das Dezember-Sicherheitsbulletin.
Die Komplexität der Schwachstelle zeigt sich daran, dass sie tief in der Android-Architektur verwurzelt ist. Das Problem liegt nicht nur in einzelnen Apps, sondern in der grundlegenden Art, wie das Betriebssystem Grafikdaten verarbeitet und Apps miteinander interagieren lässt.
Da die von Pixnapping genutzten Kernmechanismen typischerweise in allen Android-Geräten verfügbar sind, betrifft die Schwachstelle wahrscheinlich eine breite Palette von Smartphones verschiedener Hersteller. Die Forscher testeten zwar nur Google- und Samsung-Geräte, gehen aber davon aus, dass auch andere Hersteller betroffen sein könnten.
Nutzer sollten Android-Updates sofort installieren und nur Apps aus vertrauenswürdigen Quellen laden. Was haltet ihr von dieser neuen Bedrohung für die Smartphone-Sicherheit?
Zusammenfassung
- Sicherheitsforscher entdecken Android-Angriff Pixnapping ohne App-Berechtigungen
- Attacke stiehlt 2FA-Codes und private Daten binnen 30 Sekunden
- Angriffsmethode nutzt GPU-Hardware-Seitenkanal und Android-APIs
- Google stuft Schwachstelle als hochkritisch ein unter CVE-2025-48561
- Behebung erfordert tiefgreifende Änderungen an Android-Kernmechanismen
- Betroffen sind nachweislich Google Pixel und Samsung Galaxy mit Android 13-16
- Nutzer sollten zeitnah Updates installieren und Apps aus sicheren Quellen laden
Siehe auch:
- Das neue Android-Expressive-Design: Was ist denn da passiert, Google?
- Google streicht die Spiele-Sammlung GameSnacks aus Android Auto
- Galaxy S23 erhält One UI 8-Update mit Android 16 in Deutschland
- Android Auto: Update 15.2 jetzt verfügbar - behebt kritische Fehler
- Neue Android-Regeln bedrohen Sideloading und alternative Stores
Thema:
Das Google Pixel 8 im Preisvergleich
Hy-commerce NEU 
Expert.de 
TechnikDirekt Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
-
Oscal PV800 Pro: Günstiger, heller Beamer mit Kompromissen im Test
-
ThinkTab X11: Lenovos Tablet für harte Umgebungen im Test
-
Samsungs Galaxy-S26-Serie: Welches Smartphone ist das Richtige?
-
Magcubic HY310: Billiger Beamer versagt im Test bei Bild und Ton
-
Mobiler Beamer oder XR-Brille? - Test zeigt deutlichen Sieger
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Prime Day 2026: Überblick der besten Technik-Deals von Amazon
- Amazon Prime Day: Die Tages- und Blitzangebote im Vergleich
- Mythos-Sperre: KI hackte "fast alle" NSA-Systeme "in wenigen Stunden"
- Die Steam Machine ist da: Valve enthüllt Preis und Spezifikationen
- AMD Radeon: FSR 4.1 landet ab sofort auf Millionen älterer Grafikkarten
- Nürburgring-Rekord: Xiaomi YU7 GT meistert Grüne Hölle ohne Fahrer
- WhatsApp bekommt einen neuen Chef - für bessere Monetarisierung?
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen