Forscher haben eine schwerwiegende Schwachstelle in Android entdeckt, die es bösartigen Apps ermöglicht, sensible Informationen aus anderen Apps auszulesen. Der Angriff, bekannt als Pixnapping, kann unter anderem Wiederherstellungsphrasen von Krypto-Wallets und Zwei-Faktor-Authentifizierungscodes (2FA) abfangen – ohne dass Nutzer etwas bemerken.
So funktioniert der Pixnapping-Angriff
Der Pixnapping-Angriff missbraucht bestimmte Android-APIs, die technischen Schnittstellen, über die Apps mit dem Betriebssystem kommunizieren. Bösartige Apps nutzen sie, um die Farbe einzelner Pixel auf dem Bildschirm zu analysieren. Indem sie das Tausende Male pro Sekunde tun, kann die Malware Schritt für Schritt rekonstruieren, was auf dem Display angezeigt wird.
Es handelt sich nicht um eine herkömmliche Bildschirmaufnahme, denn die wird durch die Sicherheitsmechanismen von Android blockiert. Stattdessen legt der Angriff halbtransparente Fenster über die Ziel-App, wobei nur ein einzelnes Pixel sichtbar bleibt. Indem dieses Pixel beobachtet und manipuliert wird, kann die Malware erschließen, was darunter angezeigt wird – etwa Verifizierungscodes oder Wiederherstellungsinformationen.
Forscher testen den Angriff auf Google und Samsung
Die Forscher testeten Pixnapping auf fünf Android-Geräten: den Modellen Google Pixel 6, 7, 8, 9 sowie dem Samsung Galaxy S25. Der Angriff funktionierte auf allen Geräten, allerdings unterschied sich die Effektivität je nach Modell.
Laut dem Bericht konnte der Angriff den vollständigen sechsstelligen 2FA-Code in 73, 53, 29 und 53 Prozent der Tests auf den Pixel-Modellen 6, 7, 8 bzw. 9 korrekt rekonstruieren. Die durchschnittliche Zeit pro wiederhergestelltem Code lag zwischen 14 und 26 Sekunden.
Das Entschlüsseln einer vollständigen Wiederherstellungsphrase einer Krypto-Wallet würde zwar deutlich länger dauern, doch das Risiko bleibt bestehen, wenn Nutzer ihre Wiederherstellungsphrasen länger eingeblendet lassen.
Reaktion von Google und Samsung
Google versuchte, die Schwachstelle zu beheben, indem eingeschränkt wurde, wie viele überlappende Bildschirmaktivitäten eine App gleichzeitig ausführen darf. Die Forscher stellten jedoch fest, dass Pixnapping trotz dieser Maßnahme weiterhin funktioniert.
Sie teilten mit: „Am 13. Oktober sind wir weiterhin mit Google und Samsung zu Zeitplänen für die Offenlegung und den zu ergreifenden Maßnahmen im Austausch.“
Google stufte das Problem als sehr schwerwiegend ein und sagte eine Prämie für die Entdeckung zu. Auch Samsung wurde gewarnt, da der von Google implementierte Patch den Samsung-Geräten nach Ansicht der Forscher keinen ausreichenden Schutz bietet.
Empfehlungen für Android-Nutzer
Nutzern wird geraten, keine sensiblen Informationen wie Wiederherstellungsphrasen von Krypto-Wallets oder Sicherheitscodes auf Android-Geräten anzuzeigen. Insbesondere beim Verwalten von Krypto-Assets ist es ratsamer, eine Hardware-Wallet zu verwenden.
Eine Hardware-Wallet ist ein physisches Gerät, das Transaktionen sicher signiert, ohne dass private Schlüssel oder Wiederherstellungsphrasen jemals über das Internet preisgegeben werden.
Sicherheitsforscher Vladimir S warnte abschließend auf X:
„Verwende dein Telefon nicht, um deine Krypto zu sichern. Nutze eine Hardware-Wallet.“
Sichere dir noch heute 10 € gratis und zahle keine Handelsgebühren auf deine ersten 10.000 €!
Nutze diese einmalige Chance mit Newsbit und Bitvavo, indem du jetzt über den Button unten ein Konto eröffnest. Zahle nur 10 € ein und erhalte sofort 10 € gratis. Außerdem kannst du 7 Tage lang gebührenfrei über deine ersten 10.000 € an Transaktionen handeln. Starte noch heute und profitiere direkt von der wachsenden Beliebtheit von Kryptowährungen!
Erstelle dein Konto und sichere dir deine 10 € gratis.
Verpasse nicht die Gelegenheit, sofort von der wachsenden Beliebtheit von Kryptowährungen zu profitieren!
Krypto-Wallet mit 650.000 Nutzern stellt nach Sicherheitslücke den Betrieb ein
Ctrl Wallet, eine Non-Custodial-Multichain-Wallet, mit der Nutzer ihre digitalen Vermögenswerte selbst verwalten, stellt den Betrieb endgültig ein.
Krypto-Hacks fast halbiert – Experten warnen vor wachsender Gefahr
Der gesamte finanzielle Schaden durch Cyberangriffe auf die Blockchain-Branche ist im ersten Halbjahr 2026 um 46,8 Prozent auf 1,31 Milliarden US-Dollar gesunken.
Sicherheitslücke gefährdet Tausende Krypto-Wallets
Tausende Krypto-Wallets könnten wegen einer Sicherheitslücke bei der Erstellung sogenannter Seed-Phrases für Diebstahl anfällig sein.
Meist gelesen
Analyst: XRP wird bald neue Millionäre hervorbringen
Eine auffällige Prognose zu XRP sorgt in der Community rund um den Coin für heftige Diskussionen.
Kann XRP auf 10.000 bis 50.000 Dollar steigen? ChatGPT erklärt, warum es möglich ist
Südkorea will auch kleine Kryptotransaktionen überwachen. Der Vorschlag soll Geldwäsche verhindern und internationale Vorschriften stärken.
KI-Prognose: So könnte sich XRP bis zum 31. Juli und im weiteren Jahr 2026 entwickeln
KI prognostiziert den XRP-Kurs für den 31. Juli 2026 und zeigt, welche Faktoren den Preis den Modellen zufolge in den kommenden Wochen bestimmen.
