Para peneliti keamanan siber telah menemukan jenis serangan baru yang berdampak pada perangkat Android, dan mereka menyatakan teknik ini memungkinkan peretas mengakses data pribadi pengguna hanya dalam hitungan detik.
Data yang dapat dicuri mencakup percakapan pribadi, pesan teks, surel, hingga kode autentikasi dua faktor (2FA), sebagaimana dilaporkan oleh Ars Technica.
Serangan yang dijuluki "Pixnapping" oleh tim peneliti yang menemukannya ini dapat digunakan untuk mengekstrak informasi dari segala data yang ditampilkan di layar. Korban harus mengunduh aplikasi berbahaya terlebih dahulu. Setelah aplikasi tersebut terpasang, serangan Pixnapping dapat terjadi tanpa memerlukan izin perangkat tambahan dari korban.
"Segala hal yang terlihat saat aplikasi target dibuka dapat dicuri oleh aplikasi berbahaya menggunakan Pixnapping," tulis situs web Pixnapping, sebuah sumber yang dibuat peneliti untuk berbagi informasi mengenai serangan ini. "Pesan chat, kode 2FA, surel, dan lain-lain, semuanya rentan karena tampil secara visual."
Menurut situs tersebut, kerentanan ini dirinci dalam sebuah makalah penelitian baru, hasil kolaborasi tujuh peneliti dari Universitas California, Berkeley, Universitas Washington, Universitas California, San Diego, dan Universitas Carnegie Mellon. Pratinjau makalah berjudul “Pixnapping: Bringing Pixel Stealing out of the Stone Age” telah tersedia daring dan akan dipublikasikan minggu ini dalam Konferensi ACM ke-32 tentang Keamanan Komputer dan Komunikasi di Taiwan.
Informasi yang tidak ditampilkan di layar perangkat Android, seperti kunci rahasia yang disembunyikan menggunakan tanda bintang, tidak dapat dicuri oleh peretas dalam serangan Pixnapping. Hal ini disebabkan oleh cara serangan tersebut dilakukan.
Setelah korban menginstal aplikasi berbahaya, aplikasi itu memanfaatkan API Android untuk menargetkan aplikasi lain yang memiliki akses ke data sensitif. Aplikasi kemudian mengakses piksel yang ditampilkan di layar menggunakan kebocoran data yang tidak seharusnya, yang juga dikenal sebagai hardware side channel. Aplikasi berbahaya mendorong setiap piksel tersebut melalui rendering pipeline, tempat serangan Pixnapping kemudian melakukan operasi grafis. Proses ini berlanjut hingga Optical Character Recognition (OCR) dapat dilakukan, yang berarti aplikasi dapat mengekstrak teks dari tampilan visual.
Pada intinya, segala informasi yang ditampilkan di layar perangkat Anda kemudian dapat dicuri.
"Secara konseptual, ini seakan-akan aplikasi berbahaya mengambil tangkapan layar dari konten yang seharusnya tidak dapat diaksesnya," tulis situs Pixnapping.
Para peneliti menguji serangan Pixnapping pada smartphone Google Pixel 6 hingga 9, serta Samsung Galaxy S25, dengan berbagai versi sistem operasi mobile Android, dari Android 13 hingga 16.
Meskipun berita ini tentu mengkhawatirkan, para peneliti menyatakan bahwa mereka belum mengetahui adanya contoh nyata eksploitasi ini yang digunakan di luar pengujian.
Tim peneliti keamanan siber telah memberi tahu Google mengenai kerentanan Android ini pada bulan Februari. Google merilis patch pertama untuk Pixnapping bulan lalu. Namun, para peneliti menemukan workaround-nya dalam hitungan hari, dan kembali memberi tahu Google. Google menyatakan akan merilis tambahan patch Pixnapping dalam buletin keamanan Android bulan Desember.