Android: Neue Hacker-Methode stiehlt Passwörter unsichtbar

Eine völlig neue Angriffstechnik namens „Pixnapping“ kann sensible Daten wie 2FA-Codes oder Bankdaten direkt vom Bildschirm Android-Smartphones stehlen – ohne dass Nutzer etwas davon bemerken. Die Attacke benötigt keinerlei besondere Berechtigungen und macht sie praktisch unsichtbar.

Forscher der Carnegie Mellon University, UC Berkeley, UC San Diego und der University of Washington präsentierten diese Woche auf der ACM-Konferenz für Computer- und Kommunikationssicherheit (CCS 2025) ihre beunruhigenden Erkenntnisse. In Tests konnten sie erfolgreich Daten aus beliebten Apps wie Signal, Gmail, Venmo und Google Authenticator extrahieren – sowohl auf Google Pixel- als auch Samsung Galaxy-Geräten.

Besonders alarmierend: Die Forscher demonstrierten, wie sich ein 2FA-Code aus Google Authenticator in unter 30 Sekunden stehlen lässt. „Konzeptionell ist es so, als könnte jede App Screenshots von anderen Apps machen, ohne um Erlaubnis zu fragen“, erklärt Riccardo Paccagnella, Assistenzprofessor an der Carnegie Mellon University.

Cleverer Trick umgeht Android-Schutzmechanismen

Pixnapping kombiniert geschickt legitime Android-Funktionen mit einer Hardware-Schwachstelle, um Bildschirminhalte Pixel für Pixel abzugreifen. Anders als herkömmliche Malware benötigt eine bösartige Pixnapping-App keine verdächtigen Berechtigungen.

Der Angriff erfolgt in mehreren Schritten: Zunächst nutzt die schädliche App Standard-Android-Intents, um eine Ziel-App zum Öffnen sensibler Informationen zu veranlassen. Dann legt sie nahezu transparente Fenster über die Ziel-App und löst grafische Operationen wie Unschärfeeffekte aus.

Der entscheidende Trick: Die Malware nutzt eine GPU-Hardware-Schwachstelle namens „GPU.zip“. Sie misst winzige Zeitunterschiede, die der Grafikprozessor für verschiedene Pixelfarben benötigt. Durch wiederholte Messungen rekonstruiert der Angreifer Farbe und Wert der Bildschirmpixel – ohne jemals einen echten Screenshot zu erstellen.

Google bestätigt Problem auf Millionen Geräten

Die Forscher bestätigten die Wirksamkeit von Pixnapping auf aktuellen Geräten wie Google Pixel 6 bis 9 und Samsung Galaxy S25 mit Android 13 bis 16. Da die ausgenutzte Technik Standard in den meisten Android-Geräten ist, dürften hunderte Millionen Smartphones betroffen sein.

Google stufte die Schwachstelle nach der Meldung im Februar 2025 als „hohe Bedrohung“ ein und vergab die Kennung CVE-2025-48561. Ein erster Patch im September-Update erwies sich jedoch als unvollständig – die Forscher fanden bereits eine Umgehung.

Für das Dezember-Update 2025 kündigte Google eine umfassende Lösung an. Ein Sprecher betonte, dass bislang keine aktive Ausnutzung der Lücke in freier Wildbahn beobachtet wurde.

Anzeige: Apropos Android-Sicherheit: Pixnapping zeigt, wie raffiniert Angriffe geworden sind. Viele Android‑Nutzer übersehen diese 5 einfachen Schutzmaßnahmen – dabei schützen sie WhatsApp, Banking & Co. spürbar besser. Der kostenlose Ratgeber erklärt alles Schritt für Schritt, ohne teure Zusatz‑Apps. Kostenlosen Android‑Sicherheitsratgeber jetzt anfordern

Wachsende Bedrohung für Android-Nutzer

Pixnapping fügt sich in eine besorgniserregende Entwicklung ein: 2025 verzeichneten Sicherheitsfirmen einen deutlichen Anstieg sophistizierter Android-Malware. Aktuelle Kampagnen nutzen Schadsoftware wie „ClayRat“, die sich über gefälschte WhatsApp- und TikTok-Versionen verbreitet.

Die neue Angriffsmethode unterscheidet sich grundlegend von bekannten „Tapjacking“-Attacken. Während diese Nutzer durch überlagerte Inhalte täuschen, stiehlt Pixnapping visuelle Informationen völlig ohne Nutzerinteraktion.

Das technische Know-how für solche Exploits ist beträchtlich – Amateur-Kriminelle dürften damit überfordert sein. Verpackt in eine scheinbar harmlose App könnte die Technik jedoch über übliche Malware-Kanäle verbreitet werden.

Was Nutzer jetzt tun können

Bis zur vollständigen Behebung im Dezember bleibt Nutzern vor allem Vorsicht: Apps nur aus vertrauenswürdigen Quellen wie dem Google Play Store installieren und verdächtige Berechtigungsanfragen meiden. Entscheidend sind zeitnahe Sicherheitsupdates vom Gerätehersteller.

Anzeige: Für alle, die ihr Smartphone sofort härten möchten: So sichern Sie Ihr Android mit geprüften Einstellungen, wichtigen Update‑Tipps und kompakten Checklisten – leicht erklärt für den Alltag. Gratis als E‑Mail‑Download. Gratis‑Paket: Die 5 wichtigsten Schutzmaßnahmen für Ihr Android

Die Forscher wollen den Pixnapping-Code nach Verfügbarkeit wirksamer Patches veröffentlichen – zur Unterstützung weiterer Forschung und stärkerer Abwehrmechanismen.