Perangkat Android rentan terhadap serangan baru yang bisa mencuri kode autentikasi dua faktor, riwayat lokasi, dan data pribadi lainnya secara diam-diam dalam waktu kurang dari 30 detik.
Serangan baru yang dinamai Pixnapping oleh tim peneliti akademis yang merancangnya, mengharuskan korban untuk terlebih dahulu menginstal aplikasi berbahaya di ponsel atau tablet Android. Aplikasi tersebut, yang tidak memerlukan izin sistem, kemudian dapat secara efektif membaca data yang ditampilkan aplikasi lain di layar. Pixnapping telah didemonstrasikan pada ponsel Google Pixel dan Samsung Galaxy S25 dan kemungkinan besar dapat dimodifikasi untuk bekerja pada model lain dengan usaha tambahan. Google merilis mitigasi bulan lalu, namun para peneliti mengatakan versi modifikasi dari serangan ini tetap berhasil meskipun pembaruan telah diinstal.
Seperti Mengambil Tangkapan Layar
Serangan Pixnapping dimulai dengan aplikasi berbahaya yang memanggil antarmuka pemrograman Android, yang menyebabkan aplikasi autentikator atau aplikasi target lainnya mengirimkan informasi sensitif ke layar perangkat. Aplikasi berbahaya kemudian menjalankan operasi grafis pada piksel-piksel individual yang menjadi minat penyerang. Pixnapping kemudian mengeksploitasi sebuah side channel yang memungkinkan aplikasi berbahaya untuk memetakan piksel pada koordinat tersebut menjadi huruf, angka, atau bentuk.
"Apa pun yang terlihat ketika aplikasi target dibuka dapat dicuri oleh aplikasi berbahaya menggunakan Pixnapping," tulis para peneliti di sebuah situs web informasi. "Pesan chat, kode 2FA, pesan email, dll., semuanya rentan karena terlihat. Jika suatu aplikasi memiliki informasi rahasia yang tidak terlihat (misalnya, memiliki kunci rahasia yang disimpan tetapi tidak pernah ditampilkan di layar), informasi tersebut tidak dapat dicuri oleh Pixnapping."
Kelas serangan baru ini mengingatkan pada GPU.zip, sebuah serangan tahun 2023 yang memungkinkan situs web berbahaya membaca nama pengguna, kata sandi, dan data visual sensitif lainnya yang ditampilkan oleh situs web lain. Serangan itu bekerja dengan mengeksploitasi side channel yang ditemukan dalam GPU dari semua pemasok utama. Kerentanan yang dieksploitasi oleh GPU.zip tidak pernah diperbaiki. Sebagai gantinya, serangan itu diblokir di peramban dengan membatasi kemampuannya untuk membuka iframe, sebuah elemen HTML yang memungkinkan satu situs web (dalam kasus GPU.zip, situs yang berbahaya) untuk menyematkan konten dari situs domain yang berbeda.
Pixnapping menargetkan side channel yang sama seperti GPU.zip, secara spesifik adalah jumlah waktu yang dibutuhkan untuk suatu frame tertentu untuk dirender di layar.