2FA-Codes und mehr: GPU-Angriff ermöglicht gefährliche Spionage unter Android
Sicherheitsforscher haben eine neue Angriffstechnik namens Pixnapping vorgestellt, mit der es möglich ist, auf fremden Android-Geräten mittels einer böswilligen App vertrauliche Daten aus anderen Anwendungen abzugreifen. Das soll nicht nur mit Anmeldeinformationen wie 2FA-Codes funktionieren, sondern auch mit E-Mail-Daten aus Gmail oder Nachrichten aus verschlüsselten Messenger-Apps wie Signal.
Wie der Angriff funktioniert, schildern die Forscher auf einer Informationsseite(öffnet im neuen Fenster) sowie in einem dort eingebetteten Videoclip. Darin ist zu sehen, wie eine bösartige App im Hintergrund einen 2FA-Code aus dem Google Authenticator exfiltriert, so dass der Angreifer sich damit am Reddit-Konto des Opfers anmelden kann.
Das Lesen des 2FA-Codes geht zwar recht langsam vonstatten, länger als 30 Sekunden soll es aber nicht dauern. Das liegt im Rahmen der Gültigkeit der generierten Codes, so dass eine Kontoübernahme problemlos möglich ist.
Das Abgreifen längerer Chatnachrichten dürfte technisch bedingt zwar deutlich länger dauern. Da der Angriff unbemerkt im Hintergrund abläuft, dürfte aber auch das keine große Hürde darstellen.
Seitenkanalangriff seit Jahren bekannt
Pixnapping basiert den Angaben nach auf der Ausnutzung bestimmter Android-APIs sowie einem seit mehr als zwei Jahren bekannten Seitenkanalangriff namens GPU.zip . Letzterer zielte ursprünglich auf das Auslesen sichtbarer Daten von Webseiten ab, die auf einem Zielsystem parallel zu einer Seite der Angreifer geöffnet sind. Offenkundig lässt sich dieses Prinzip aber auch auf Android-Apps übertragen.
Den Forschern zufolge ist zur Ausführung von Pixnapping lediglich das Vorhandensein einer bösartigen App auf einem Zielgerät erforderlich. Darüber können Angreifer durch Ausführung grafischer Operationen auf bestimmten Pixeln sichtbare Daten aus anderen lokal ausgeführten Apps auslesen – inklusive Zugangsdaten und E-Mails. Spezielle Berechtigungen braucht die Angreifer-App dafür nicht.
"Pixnapping zwingt kritische Pixel in die Rendering-Pipeline und überlagert sie über Android-Intents mit halbtransparenten Aktivitäten" , erklären die Forscher. Anschließend würden mittels Window-Blur-API bestimmte GPU-Operationen ausgeführt und über VSync-Callbacks die Rendering-Zeiten gemessen. "Konzeptionell ist es so, als würde die bösartige App einen Screenshot von Bildschirminhalten machen, auf die sie keinen Zugriff haben sollte" , heißt es.
Erster Patch lässt sich umgehen
Weitere technische Details zu Pixnapping sind in einem 15-seitigen Paper (PDF)(öffnet im neuen Fenster) zu finden. Die Forscher haben den Angriff auf mehreren Smartphones von Google und Samsung mit Android-Versionen von 13 bis 16 erfolgreich getestet. Da sich die Technik auf gängige Abläufe innerhalb des Systems bezieht, geht das Forscherteam davon aus, dass auch Geräte anderer Hersteller betroffen sind.
Erstmals an Google gemeldet haben die Forscher ihre Entdeckung am 24. Februar 2025. Anfang September veröffentlichte der Android-Entwickler zwar einen Patch ( CVE-2025-48561(öffnet im neuen Fenster) ), dieser stellte sich jedoch als unzureichend heraus. Die Pixnapping-Entdecker fanden einen Weg, die Korrektur zu umgehen.
Wie ein Google-Sprecher gegenüber The Register(öffnet im neuen Fenster) verlauten ließ, soll ein weiterer Patch erst im Dezember erscheinen. Der Sprecher betonte aber auch, dass es bisher keine Hinweise auf eine aktive Ausnutzung der Angriffstechnik durch böswillige Akteure gebe.