Akademiska forskare har avslöjat en ny Android-sårbarhet kallad Pixnapping som låter skadliga appar stjäla 2FA-koder, privata meddelanden och annan synlig data utan att behöva behörigheter. Attacken, som tar mindre än 30 sekunder, utnyttjar skärmrenderingstider och har demonstrerats på Google Pixel-telefoner och Samsung Galaxy S25. Google har släppt partiella åtgärder, med fler patchar planerade.
Pixnapping-attacken kräver att ett offer installerar en skadlig app, som sedan använder Androids programmeringsgränssnitt för att utlösa målanpassade appar att visa känslig information på skärmen. Utan speciella behörigheter utför appen grafiska operationer på specifika pixlar och mäter renderingstider för att rekonstruera data pixel för pixel, och fungerar effektivt som en obehörig skärmdump.
"Allt som är synligt när målanpassad app öppnas kan stjälas av den skadliga appen med Pixnapping," uppgav forskarna på sin informationswebbplats. Detta inkluderar chattmeddelanden, 2FA-koder och e-postinnehåll, men inte dold data som lagrade hemliga nycklar.
Processen utspelar sig i tre steg: först anropar den skadliga appen API:er som aktiviteter, intents och uppgifter för att skanna och öppna målanpassade appar, och skicka deras data till renderingspipelinen. För det andra kontrollerar den pixelfärger på valda koordinater och skiljer vitt från icke-vitt genom att överlappa skadliga fönster. För det tredje kombinerar den renderingstidsmätningar för att återskapa bilden.
Forskare testade attacken på Google Pixel 6, 7, 8 och 9-telefoner och återhämtade framgångsrikt fullständiga 6-siffriga 2FA-koder från Google Authenticator i 73 %, 53 %, 29 % respektive 53 % av försöken, med ett genomsnitt på 14 till 26 sekunder. Den var mindre effektiv på Samsung Galaxy S25 på grund av brus. Huvudförfattaren Alan Linghao Wang förklarade: "Detta låter en skadlig app stjäla känslig information som visas av andra appar eller godtyckliga webbplatser, pixel för pixel."
Pixnapping påminner om GPU.zip-attacken från 2023, som använde liknande GPU-sidokanaler men mildrades i webbläsare. Google utfärdade en patch för CVE-2025-48561 i september, som delvis åtgärdar problemet, med en annan i december. En Google-representant noterade: "Vi har inte sett några bevis på utnyttjande i det vilda." Forskningen belyser begränsningar i Androids appisolering, även om utmaningar med verklig implementering kan minska dess praktikalitet.