Peneliti akademis telah mengungkap kerentanan Android baru bernama Pixnapping yang memungkinkan aplikasi berbahaya mencuri kode 2FA, pesan pribadi, dan data terlihat lainnya tanpa memerlukan izin. Serangan ini, yang memakan waktu kurang dari 30 detik, mengeksploitasi waktu rendering layar dan telah didemonstrasikan pada ponsel Google Pixel dan Samsung Galaxy S25. Google telah merilis mitigasi parsial, dengan patch lebih lanjut direncanakan.
Serangan Pixnapping memerlukan korban untuk menginstal aplikasi berbahaya, yang kemudian menggunakan antarmuka pemrograman Android untuk memicu aplikasi target menampilkan informasi sensitif di layar. Tanpa izin khusus apa pun, aplikasi tersebut melakukan operasi grafis pada piksel tertentu dan mengukur waktu rendering untuk merekonstruksi data piksel demi piksel, yang efektif bertindak seperti tangkapan layar tidak sah.
"Apa pun yang terlihat saat aplikasi target dibuka dapat dicuri oleh aplikasi berbahaya menggunakan Pixnapping," kata para peneliti di situs web informasional mereka. Ini termasuk pesan obrolan, kode 2FA, dan konten email, tetapi bukan data tersembunyi seperti kunci rahasia yang disimpan.
Prosesnya terdiri dari tiga langkah: pertama, aplikasi berbahaya memanggil API seperti aktivitas, intent, dan tugas untuk memindai dan membuka aplikasi target, mengirim data mereka ke pipeline rendering. Kedua, ia memeriksa warna piksel pada koordinat yang dipilih, membedakan putih dari non-putih dengan menumpuk jendela berbahaya. Ketiga, ia menggabungkan pengukuran waktu rendering untuk membangun kembali gambar.
Para peneliti menguji serangan pada ponsel Google Pixel 6, 7, 8, dan 9, berhasil memulihkan kode 2FA 6 digit penuh dari Google Authenticator dalam 73%, 53%, 29%, dan 53% uji coba, masing-masing, dengan rata-rata 14 hingga 26 detik. Kurang efektif pada Samsung Galaxy S25 karena noise. Penulis utama Alan Linghao Wang menjelaskan, "Ini memungkinkan aplikasi berbahaya untuk mencuri informasi sensitif yang ditampilkan oleh aplikasi lain atau situs web sewenang-wenang, piksel demi piksel."
Pixnapping mirip dengan serangan GPU.zip tahun 2023, yang menggunakan saluran samping GPU serupa tetapi dimitigasi di browser. Google mengeluarkan patch untuk CVE-2025-48561 pada September, yang menangani isu secara parsial, dengan yang lain pada Desember. Seorang perwakilan Google mencatat, "Kami belum melihat bukti eksploitasi di alam liar." Penelitian ini menyoroti batasan isolasi aplikasi Android, meskipun tantangan implementasi dunia nyata mungkin mengurangi praktikalitasnya.