Elyse Betters Picaro / ZDNET
Ikuti ZDNET: [Tambahkan kami sebagai sumber pilihan] di Google.
*
Intisari ZDNET**
- Pixnapping bisa digunakan untuk mencuri data pribadi, termasuk kode 2FA.
- Serangan side-channel menyalahgunakan API Google Android untuk mencuri data yang ditampilkan.
- Celah telah ditambal sebagian, meskipun perbaikan lebih lengkap dijadwalkan pada Desember.
***
Sebuah metode serangan baru yang didemonstrasikan oleh para peneliti dapat mengakibatkan pencurian kode autentikasi dua faktor (2FA) dan lainnya pada perangkat Android.
Teknik serangan ini, yang diuraikan dalam makalah berjudul "Pixnapping: Bringing Pixel Stealing out of the Stone Age", dikembangkan oleh para peneliti dari University of California, Berkeley, San Diego, Washington, dan Carnegie Mellon.
Dijuluki "Pixnapping", vektor serangan ini dimulai ketika korban tanpa sadar menginstal aplikasi seluler berbahaya di ponsel Android mereka. Yang patut dicatat, aplikasi tersebut tidak perlu menyalahgunakan izin untuk melakukan serangan ini, karena mengeksploitasi API Android yang ada, rendering pixel, dan saluran samping perangkat keras.
Tahapan Serangan
Ada tiga tahap dalam Pixnapping, dinamai demikian karena menyalahgunakan piksel yang dirender oleh aplikasi target, seperti Google Authenticator. Tahap pertama mengharuskan aplikasi berbahaya untuk memanggil aplikasi target dan melakukan panggilan sistem untuk memicu pengiriman data sensitif ke pipeline rendering Android.
Pada tahap kedua, aplikasi ini kemudian akan menginduksi operasi grafis (pengaburan) dengan meluncurkan lapisan "semi-transparan" pada piksel sensitif individual yang dirender oleh aplikasi target — seperti bagian layar saat aplikasi autentikasi merender karakter 2FA. Masking kemudian digunakan untuk mengisolasi, memperbesar, dan menentukan sifat grafis dari piksel tersebut.
Tahap ketiga dan terakhir mengharuskan penyalahgunaan saluran samping, GPU.Zip, untuk mencuri piksel yang ditampilkan, satu per satu. Dengan kata lain, aplikasi berbahaya mengambil piksel untuk menangkap semacam "screenshot" dari konten yang seharusnya tidak dapat diaksess.
Apa Implikasinya?
Serangan ini dapat mengakibatkan pencurian informasi yang terlihat, seperti pesan pribadi, kode 2FA, konten email yang terbuka, dan lainnya.
Terkait 2FA, eksperimen untuk membocorkan 100 kode dalam jendela waktu 30 detik yang diperlukan berhasil dilakukan pada ponsel Google Pixel, tetapi tingkat keberhasilannya bervariasi dalam mengambil seluruh enam digit dalam Google Authenticator. Namun, ini tidak berhasil pada Samsung Galaxy S25 "karena noise yang signifikan".
"Kami telah mendemonstrasikan serangan Pixnapping pada ponsel Google dan Samsung dan pemulihan end-to-end data sensitif dari situs web, termasuk Gmail dan Google Accounts, serta aplikasi, termasuk Signal, Google Authenticator, Venmo, dan Google Maps," ujar para peneliti. "Yang patut dicatat, serangan kami terhadap Google Authenticator memungkinkan aplikasi berbahaya mana pun untuk mencuri kode 2FA dalam waktu kurang dari 30 detik sambil menyembunyikan serangan dari pengguna."
Pixnapping dilakukan pada lima perangkat yang menjalankan Android versi 13 hingga 16: Google Pixel 6, Google Pixel 7, Google Pixel 8, Google Pixel 9, dan Samsung Galaxy S25. Namun, ada kemungkinan Pixnapping dapat mempengaruhi handset lain, karena tim mengatakan "mekanisme inti yang memungkinkan serangan ini biasanya tersedia di semua perangkat Android."
Apakah Celah Keamanan Ini Sudah Ditambal?
Celah keamanan ini telah diberikan pelacak CVE-2025-48561. Tambalan telah diterbitkan. Tim mengatakan bahwa tambalan ini memitigasi Pixnapping "dengan membatasi jumlah aktivitas yang dapat di-blur oleh suatu aplikasi," tetapi juga mengatakan bahwa ada jalan keluar, dan ini telah diungkapkan secara privat ke Google.
Tidak diketahui apakah eksploitasi ini sedang digunakan di luar, meskipun Google memberi tahu The Register bahwa tidak ada bukti kampanye aktif. Selain itu, mitigasi parsial ini akan diikuti dengan tambalan tambahan dalam buletin keamanan Android Desember oleh raksasa teknologi tersebut.
Dapatkan berita teratas setiap pagi di kotak masuk Anda dengan [Newsletter Tech Today] kami.