Android: Schwere Sicherheitslücke ermöglicht Datendiebstahl

Eine neue Angriffsmethode bedroht Android-Nutzer weltweit: Forscher haben eine Schwachstelle entdeckt, die es schädlichen Apps ermöglicht, sensible Bildschirminhalte wie Zwei-Faktor-Codes zu stehlen – ohne jede Berechtigung. Parallel dazu führt Google in Chrome eine neue Funktion ein, die automatisch nervige Website-Benachrichtigungen blockiert.

Die als „Pixnapping“ bezeichnete Attacke nutzt eine grundlegende Schwachstelle im Android-System aus. Gleichzeitig bestätigt Google ein wichtiges Update für Chrome, das unaufgefordert Website-Berechtigungen widerruft. Diese Entwicklungen zeigen den andauernden Kampf um Sicherheit auf dem weltweit meistgenutzten mobilen Betriebssystem.

Pixnapping: Angriff ohne Berechtigung

Sicherheitsforscher der Carnegie Mellon University haben diese Woche eine neue Klasse von Android-Angriffen vorgestellt. Pixnapping nutzt Kernfunktionen des Betriebssystems und einen Hardware-Seitenkanal der Grafikeinheit, um Pixel zu extrahieren und sensible Bildschirminformationen zu rekonstruieren.

In Demonstrationen stahlen die Forscher erfolgreich Zwei-Faktor-Codes aus Google Authenticator – in unter 30 Sekunden. Auch Daten aus Signal, Gmail und Venmo konnten abgegriffen werden. Besonders perfide: Die Angriffs-App benötigt keinerlei Berechtigungen vom Nutzer.

Die Attacke funktioniert auf modernen Geräten von Google Pixel 6 bis 9 sowie Samsung Galaxy S25 mit Android-Versionen 13 bis 16. „Konzeptionell kann jede App Screenshots anderer Apps machen – ohne Erlaubnis. Das verletzt Androids Sicherheitsmodell fundamental“, erklärt Hauptforscher Riccardo Paccagnella.

Google bestätigt kritische Lücke

Google erfuhr bereits im Februar 2025 von der Schwachstelle und stufte sie als „Hoher Schweregrad“ ein (CVE-2025-48561). Ein erster Reparaturversuch schlug fehl – die Forscher fanden eine Umgehung.

Derzeit bleiben Android-Geräte verwundbar. Google arbeitet an einem umfassenden Patch für das zugrundeliegende Architektur-Problem. Eine dauerhafte Lösung erfordert wahrscheinlich grundlegende Änderungen an Androids Kernmechanismen.

Bis dahin empfehlen Experten: Nur vertrauenswürdige Apps installieren und Sicherheitsupdates sofort einspielen.

Anzeige: Übrigens: Wer sich vor neuen Android-Angriffen wie „Pixnapping“ schützen möchte, bekommt eine leicht verständliche Schritt-für-Schritt-Hilfe im kostenlosen Sicherheitspaket. Die 5 wichtigsten Maßnahmen erhöhen den Schutz von WhatsApp, Banking & Co. – ohne teure Zusatz-Apps, mit Checklisten und klaren Einstellungen. In wenigen Minuten umgesetzt – ideal für Alltagsnutzer. Jetzt das kostenlose Android‑Sicherheitspaket sichern

Chrome stoppt Benachrichtigungs-Spam

Parallel führt Google eine neue Chrome-Funktion ein: Der Browser widerruft automatisch Benachrichtigungs-Berechtigungen von Websites, mit denen Nutzer nicht mehr interagieren. Die Erweiterung der „Sicherheitsüberprüfung“ betrifft sowohl Android als auch Desktop-Versionen.

Wenn Chrome Berechtigungen entzieht, informiert eine Warnung den Nutzer. Die Berechtigung lässt sich jederzeit in den Einstellungen reaktivieren. Googles interne Daten zeigen: Weniger als ein Prozent aller Web-Benachrichtigungen erhalten Nutzer-Interaktion.

Industrie unter Druck

Die Pixnapping-Enthüllung verdeutlicht die sich wandelnde Bedrohungslandschaft. Da Software-Sicherheit zunimmt, suchen Angreifer nach komplexen Hardware-Software-Wechselwirkungen für neue Exploits. Solche Seitenkanal-Angriffe sind notorisch schwer zu verteidigen und erfordern oft tiefgreifende Architektur-Änderungen.

Chromes neue Benachrichtigungsrichtlinie spiegelt den Branchenwiderstand gegen „Notification-Spam“ wider. Durch automatisches Aufräumen der Berechtigungen wechselt Google von einem manuellen zu einem proaktiven, intelligenten System.

Was kommt als Nächstes?

Hunderte Millionen Android-Nutzer warten auf Googles Pixnapping-Patch. Ein Zeitplan wurde nicht genannt. Der Vorfall wird wahrscheinlich eine tiefere Überprüfung von Androids Rendering-Pipeline und GPU-Datenverarbeitung auslösen.

Die automatische Benachrichtigungs-Sperrung in Chrome erreicht alle Nutzer in den kommenden Wochen. Website-Betreiber müssen ihre Strategien überdenken und weniger, dafür relevantere Mitteilungen senden. Da die Änderung im Open-Source-Chromium implementiert wird, werden andere Browser wie Edge, Brave und Vivaldi wahrscheinlich nachziehen.