Via een nieuwe techniek kunnen kwaadwillenden schermen nabouwen op basis van pixels om zo gevoelige info zoals 2FA-codes te verkrijgen.
Onderzoekers hebben een nieuwe aanval ontdekt op Android, waarmee kwaadwillenden binnen dertig seconden tweestapsverificatiecodes, chatberichten en andere scherminformatie kunnen stelen. De aanval heet Pixnapping en maakt misbruik van een kwetsbaarheid in de manier waarop Android grafische beelden rendert.
App zonder rechten, toch gevaarlijk
Pixnapping vereist enkel dat het slachtoffer een besmette app installeert. Die app heeft geen extra systeemrechten nodig, maar kan via subtiele meetfouten in de grafische processor toch de pixels van andere apps ‘lezen’. Zo kan ze bijvoorbeeld cijfers reconstrueren van de Google Authenticator-app of delen van berichten uit een chatvenster.
De aanval werkt door te meten hoelang het duurt om bepaalde pixels weer te geven. Die tijdsverschillen verraden de kleur van de pixel en maken het mogelijk om beeld voor beeld de inhoud te reconstrueren. In tests slaagden onderzoekers erin om volledige 2FA-codes te ontcijferen op Pixel-telefoons, soms in minder dan 25 seconden.
Google werkt aan patch
Google heeft het lek (CVE-2025-48561) deels gedicht in de septemberpatch en brengt in december een aanvullende update uit, vertelt Google aan Ars Technica. Voorlopig is er geen bewijs dat de aanval uitgebuit is, maar experts raden aan om updates direct te installeren en onbekende apps te vermijden.