Pixnapping-Angriff macht Android anfällig für den Diebstahl sensibler Daten

Forscher haben eine schwerwiegende Schwachstelle in Android entdeckt, die es bösartigen Apps ermöglicht, sensible Informationen aus anderen Apps auszulesen. Der Angriff, bekannt als Pixnapping, kann unter anderem Wiederherstellungsphrasen von Krypto-Wallets und Zwei-Faktor-Authentifizierungscodes (2FA) abfangen – ohne dass Nutzer etwas bemerken.

So funktioniert der Pixnapping-Angriff

Der Pixnapping-Angriff missbraucht bestimmte Android-APIs, die technischen Schnittstellen, über die Apps mit dem Betriebssystem kommunizieren. Bösartige Apps nutzen sie, um die Farbe einzelner Pixel auf dem Bildschirm zu analysieren. Indem sie das Tausende Male pro Sekunde tun, kann die Malware Schritt für Schritt rekonstruieren, was auf dem Display angezeigt wird.

Es handelt sich nicht um eine herkömmliche Bildschirmaufnahme, denn die wird durch die Sicherheitsmechanismen von Android blockiert. Stattdessen legt der Angriff halbtransparente Fenster über die Ziel-App, wobei nur ein einzelnes Pixel sichtbar bleibt. Indem dieses Pixel beobachtet und manipuliert wird, kann die Malware erschließen, was darunter angezeigt wird – etwa Verifizierungscodes oder Wiederherstellungsinformationen.

Forscher testen den Angriff auf Google und Samsung

Die Forscher testeten Pixnapping auf fünf Android-Geräten: den Modellen Google Pixel 6, 7, 8, 9 sowie dem Samsung Galaxy S25. Der Angriff funktionierte auf allen Geräten, allerdings unterschied sich die Effektivität je nach Modell.

Laut dem Bericht konnte der Angriff den vollständigen sechsstelligen 2FA-Code in 73, 53, 29 und 53 Prozent der Tests auf den Pixel-Modellen 6, 7, 8 bzw. 9 korrekt rekonstruieren. Die durchschnittliche Zeit pro wiederhergestelltem Code lag zwischen 14 und 26 Sekunden.

Das Entschlüsseln einer vollständigen Wiederherstellungsphrase einer Krypto-Wallet würde zwar deutlich länger dauern, doch das Risiko bleibt bestehen, wenn Nutzer ihre Wiederherstellungsphrasen länger eingeblendet lassen.

Reaktion von Google und Samsung

Google versuchte, die Schwachstelle zu beheben, indem eingeschränkt wurde, wie viele überlappende Bildschirmaktivitäten eine App gleichzeitig ausführen darf. Die Forscher stellten jedoch fest, dass Pixnapping trotz dieser Maßnahme weiterhin funktioniert.

Sie teilten mit: „Am 13. Oktober sind wir weiterhin mit Google und Samsung zu Zeitplänen für die Offenlegung und den zu ergreifenden Maßnahmen im Austausch.“

Google stufte das Problem als sehr schwerwiegend ein und sagte eine Prämie für die Entdeckung zu. Auch Samsung wurde gewarnt, da der von Google implementierte Patch den Samsung-Geräten nach Ansicht der Forscher keinen ausreichenden Schutz bietet.

Empfehlungen für Android-Nutzer

Nutzern wird geraten, keine sensiblen Informationen wie Wiederherstellungsphrasen von Krypto-Wallets oder Sicherheitscodes auf Android-Geräten anzuzeigen. Insbesondere beim Verwalten von Krypto-Assets ist es ratsamer, eine Hardware-Wallet zu verwenden.

Eine Hardware-Wallet ist ein physisches Gerät, das Transaktionen sicher signiert, ohne dass private Schlüssel oder Wiederherstellungsphrasen jemals über das Internet preisgegeben werden.

Sicherheitsforscher Vladimir S warnte abschließend auf X:
„Verwende dein Telefon nicht, um deine Krypto zu sichern. Nutze eine Hardware-Wallet.“

Sichere dir noch heute 10 € gratis und zahle keine Handelsgebühren auf deine ersten 10.000 €!

Nutze diese einmalige Chance mit Newsbit und Bitvavo, indem du jetzt über den Button unten ein Konto eröffnest. Zahle nur 10 € ein und erhalte sofort 10 € gratis. Außerdem kannst du 7 Tage lang gebührenfrei über deine ersten 10.000 € an Transaktionen handeln. Starte noch heute und profitiere direkt von der wachsenden Beliebtheit von Kryptowährungen!

Erstelle dein Konto und sichere dir deine 10 € gratis.

Verpasse nicht die Gelegenheit, sofort von der wachsenden Beliebtheit von Kryptowährungen zu profitieren!