Sicherheitsforscher haben eine neue Schwachstelle in Android namens „Pixnapping“ aufgedeckt. Diese ermöglicht es bösartigen Apps, sensible Informationen direkt vom Bildschirm anderer Anwendungen auszulesen, darunter auch Zwei-Faktor-Authentifizierungscodes (2FA) und private Nachrichten.
Die Angriffsmethode basiert auf einer über zehn Jahre alten Technik, die für moderne Hardware angepasst wurde. Sie nutzt eine Hardwareschwachstelle in Grafikprozessoren (GPUs), um Pixeldaten zu stehlen, ohne dass dafür spezielle Berechtigungen erforderlich sind.
Wichtige Erkenntnisse
- Eine neue Sicherheitslücke namens Pixnapping (CVE-2025-48561) bedroht Android-Geräte.
- Bösartige Apps können Bildschirminhalte anderer Anwendungen wie Google Authenticator, Signal oder Gmail auslesen.
- Der Angriff erfordert keine besonderen Berechtigungen und ist für Nutzer schwer zu erkennen.
- Die Methode nutzt eine Hardwareschwachstelle in der GPU, um die Renderzeit von Pixeln zu messen.
- Google hat bereits einen teilweisen Patch veröffentlicht, ein weiterer soll im Dezember folgen.
Was ist der Pixnapping-Angriff?
Pixnapping ist eine hochentwickelte Angriffsmethode, die es einer schädlichen Android-Anwendung erlaubt, den Inhalt des Bildschirms anderer Apps auszuspähen. Im Grunde kann die Angreifer-App Screenshots von anderen Anwendungen erstellen, obwohl Android dies aus Sicherheitsgründen strikt verhindert.
Forscher demonstrierten, dass sie mit dieser Technik Daten aus populären Apps wie Google Maps, dem Messenger Signal und sogar Google Authenticator stehlen konnten. Besonders besorgniserregend ist die Fähigkeit, 2FA-Codes auszulesen, da diese als eine wichtige Sicherheitsebene für Online-Konten gelten.
Eine alte Technik neu entdeckt
Die Grundlage für Pixnapping ist nicht völlig neu. Sie ist inspiriert von einer 12 Jahre alten Methode, die 2013 vom Sicherheitsforscher Paul Stone beschrieben wurde. Damals wurde gezeigt, wie man über Webbrowser den Inhalt von iframes auslesen konnte. Diese ursprüngliche Schwachstelle wurde längst durch Sicherheitsmaßnahmen in Browsern behoben.
Ein Team von Forschern verschiedener US-Universitäten hat diesen Ansatz nun wiederbelebt und auf das Android-Betriebssystem übertragen. Ihre Arbeit wird auf der 32. ACM-Konferenz für Computer- und Kommunikationssicherheit in Taipeh vorgestellt.
Wer steckt hinter der Entdeckung?
Die Forschung wurde von einem Team führender Akademiker durchgeführt: Alan Wang (UC Berkeley), Pranav Gopalkrishnan (University of Washington), Yingchen Wang (UC Berkeley), Christopher Fletcher (UC Berkeley), Hovav Shacham (UC San Diego), David Kohlbrenner (University of Washington) und Riccardo Paccagnella (Carnegie Mellon University).
Wie funktioniert der Angriff technisch?
Der Angriff nutzt einen sogenannten Seitenkanalangriff auf den Grafikprozessor (GPU) des Geräts. Die Forscher bezeichnen diese zugrundeliegende Schwachstelle als „GPU.zip“. Anstatt direkt auf die Daten zuzugreifen, misst die bösartige App winzige Zeitunterschiede bei der Darstellung von Grafiken.
Der Prozess läuft in mehreren Schritten ab:
- Ziel-App öffnen: Die schädliche App startet eine Ziel-App, beispielsweise Google Authenticator. Deren Inhalte werden dadurch in den Grafikspeicher geladen.
- Pixel auswählen: Der Angreifer wählt die Koordinaten eines bestimmten Pixels aus, dessen Farbe er herausfinden möchte. Zum Beispiel ein Pixel in dem Bereich, wo eine Ziffer des 2FA-Codes angezeigt wird.
- Grafikoperationen ausführen: Die bösartige App überlagert die Ziel-App mit mehreren halbtransparenten Fenstern (Android Activities) und führt Grafikoperationen wie Weichzeichnen (Blur) aus.
- Zeit messen: Die Dauer dieser Grafikoperationen hängt von der Farbe des darunterliegenden Pixels ab. Ein weißer Pixel (Hintergrund) wird schneller verarbeitet als ein farbiger Pixel (Teil einer Ziffer). Die App misst diese Zeit pro Bild mithilfe von VSync-Callbacks.
- Daten rekonstruieren: Durch Wiederholung dieses Vorgangs für viele verschiedene Pixel kann der Angreifer langsam den Bildschirminhalt rekonstruieren und mittels Texterkennung (OCR) die angezeigten Zahlen oder Buchstaben entziffern.
„Unsere frühere Arbeit an GPU.zip gab uns einen Seitenkanal, um Rendering-Daten zu leaken“, erklärte Alan Wang, Doktorand an der UC Berkeley, gegenüber The Register. „Wir erkannten, dass wir die alten Browser-Angriffe wiederbeleben könnten, was dann zu den App-Angriffen führte.“
Welche Geräte sind betroffen und wie reagiert Google?
Die Forscher haben den Pixnapping-Angriff erfolgreich auf mehreren Geräten demonstriert, darunter Google Pixel 6, 7, 8 und 9 sowie das Samsung Galaxy S25. Die getesteten Geräte liefen mit Android-Versionen 13 bis 16. Da der Angriff auf einer grundlegenden Funktionsweise von GPUs beruht, könnten potenziell viele weitere Android-Geräte anfällig sein.
Keine besonderen Berechtigungen nötig
Ein besonders problematischer Aspekt von Pixnapping ist, dass eine bösartige App keine speziellen Berechtigungen in ihrer Manifest-Datei anfordern muss. Sie würde bei der Installation also nicht verdächtig erscheinen und könnte leicht in den Google Play Store gelangen.
Googles Maßnahmen und verbleibende Risiken
Google wurde über die Schwachstelle informiert, die unter der Kennung CVE-2025-48561 geführt wird. Ein Sprecher des Unternehmens erklärte, dass bereits im September ein erster Patch veröffentlicht wurde, der das Verhalten teilweise eindämmt. Ein weiterer, umfassenderer Patch ist für das Android-Sicherheitsupdate im Dezember geplant.
Laut Google gibt es bisher keine Hinweise auf eine aktive Ausnutzung dieser Lücke durch schädliche Apps. Die automatischen Schutzmechanismen im Google Play Store hätten keine entsprechenden Anwendungen gefunden.
Die Forscher weisen jedoch darauf hin, dass sie bereits einen Weg gefunden haben, die erste von Google implementierte Schutzmaßnahme zu umgehen. Sie argumentieren, dass eine grundlegende Änderung, die Angreifern die Berechnung von fremden Pixeln erschwert, die effektivste Lösung wäre. „Google arbeitet noch an vollständigen Korrekturen, und wir kennen deren aktuellen Status nicht“, so Wang.
Weitere Sicherheitsrisiken aufgedeckt
Im Rahmen ihrer Forschung entdeckte das Team eine weitere besorgniserregende Lücke. Durch eine bestimmte Kombination von Android-Systemnachrichten (Intents) ist es möglich, eine Liste aller auf dem Gerät installierten Apps zu erstellen. Diese Möglichkeit wurde eigentlich mit Android 11 aus Datenschutzgründen unterbunden.
Laut den Forschern hat Google mitgeteilt, dass die Behebung dieses speziellen Fehlers technisch nicht umsetzbar sei. Dies unterstreicht die Komplexität der Sicherheitsarchitektur moderner Betriebssysteme und zeigt, dass selbst bekannte Probleme manchmal ungelöst bleiben.
