Android-Sicherheitslücke bedroht Millionen Smartphones

Eine gefährliche Schwachstelle in Android ermöglicht es Hackern, vertrauliche Daten direkt vom Bildschirm zu stehlen – ohne jegliche Berechtigungen vom Nutzer. Die als „Pixnapping“ bezeichnete Attacke kann private Nachrichten, Zwei-Faktor-Authentifizierungscodes und Finanzdaten abgreifen.

Forscher der University of California Berkeley, University of Washington, UC San Diego und Carnegie Mellon University stellten ihre Erkenntnisse diese Woche auf der ACM-Konferenz für Computer- und Kommunikationssicherheit vor. Betroffen sind moderne Geräte wie Google Pixel-Smartphones (Version 6 bis 9) und Samsung Galaxy S25 mit Android-Versionen 13 bis 16.

Raffinierter Angriff hebelt Android-Sicherheit aus

Das Pixnapping-Verfahren nutzt eine ausgeklügelte Seitenkanalattacke, die keine Softwareeinbrüche erfordert, sondern physische Hardware-Effekte ausnutzt. Eine bösartige App kann nach der Installation den Angriff starten – ganz ohne weitere Nutzerinteraktion oder verdächtige Berechtigungsanfragen.

Der Ablauf ist beunruhigend elegant: Zunächst nutzt die Schadsoftware Androids Standard-Nachrichtensystem „Intents“, um Ziel-Apps wie Google Authenticator oder Signal im Hintergrund zu starten. Anschließend legt die App halbtransparente Schichten über den Zielbildschirm und manipuliert mithilfe von Androids Unschärfe-API einzelne Pixel der angezeigten Informationen.

Der entscheidende Trick: Eine Hardware-Schwachstelle namens „GPU.zip“ gibt preis, wie die Grafikkarte visuelle Daten verarbeitet. Durch Zeitverzögerungsmessungen bei GPU-Operationen können Angreifer die Farbe jedes einzelnen Pixels ableiten und so vertrauliche Daten Stück für Stück rekonstruieren.

Zwei-Faktor-Codes in unter 30 Sekunden geknackt

Die praktischen Auswirkungen sind alarmierend: In Tests stahlen die Forscher sechsstellige 2FA-Codes aus Google Authenticator in weniger als 30 Sekunden – schneller als die typische Ablaufzeit der Codes. Möglich macht das die vorhersagbare Position der Codes auf dem Bildschirm.

Auch die sichere Messaging-App Signal erwies sich als verwundbar. Selbst mit aktivierter „Bildschirmsicherheit“, die normalerweise Screenshots blockiert, konnten private Unterhaltungen abgegriffen werden. Ebenso gelang es, Standortverlauf von Google Maps, E-Mails aus Gmail und Finanzinformationen von Apps wie Venmo zu rekonstruieren.

„Konzeptionell ist es, als könnte jede App Screenshots von anderen Apps oder Websites machen – ohne Berechtigung“, erklärt Riccardo Paccagnella, Assistenzprofessor an der Carnegie Mellon University.

Anzeige: Apropos ausgelesene 2FA-Codes und private Chats: Viele Android-Nutzer übersehen einfache Schutzschritte, die Alltagsrisiken deutlich senken. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Maßnahmen – Schritt für Schritt und ohne teure Zusatz-Apps – damit WhatsApp, Online‑Banking und PayPal besser geschützt sind. Kostenloses Android‑Sicherheitspaket sichern

Google arbeitet an Lösung – Hacker finden Umgehung

Die Forscher meldeten ihre Entdeckung bereits im Februar 2025 an Google. Die Schwachstelle erhielt die Bezeichnung CVE-2025-48561 und wurde als „hoch kritisch“ eingestuft. Google veröffentlichte im September einen ersten Patch, der die Anzahl der Unschärfe-API-Aufrufe begrenzt.

Doch die Sicherheitslücke klafft weiter: Die Forscher fanden schnell einen Workaround für diese Beschränkung. Google bestätigte das Problem und kündigte einen zusätzlichen Patch für Dezember an. Ein Google-Sprecher betonte, es gebe keine Hinweise auf aktive Ausnutzung der Schwachstelle. Trotz der geplanten Korrekturen bleibt der zugrundeliegende GPU-Hardware-Fehler ungelöst.

Hardware-Schwachstellen als wachsende Bedrohung

Pixnapping belebt eine jahrzehntealte Klasse von Pixel-Diebstahl-Attacken wieder – diesmal für mobile Geräte optimiert. Während Browser-basierte Angriffe dieser Art längst bekämpft wurden, umgeht Pixnapping geschickt alle Schutzmaßnahmen durch Ausnutzung von Android-Kernfunktionen.

Die Entdeckung unterstreicht ein wachsendes Problem: Hardware-Schwachstellen sind deutlich schwieriger zu beheben als Software-Bugs und erfordern möglicherweise neue Chip-Designs. Experten raten Organisationen, bei risikoreichen Mobilgeräten von TOTP-basierter Authentifizierung wie Google Authenticator auf sicherere Standards wie FIDO2 umzusteigen.

Anzeige: Bis Updates gegen Pixnapping flächendeckend ankommen, zählt gute Gerätesicherheit doppelt. Der Gratis‑Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ zeigt praxistaugliche Einstellungen und Checks, mit denen Sie Datenklau und Schad‑Apps vorbeugen – inkl. Checklisten für geprüfte Apps und automatische Updates. Jetzt gratis anfordern

Für Android-Nutzer gilt: Vorsicht bei App-Installationen – auch vermeintlich harmlose Apps ohne verdächtige Berechtigungen können zur Gefahr werden.