Android-Sicherheitslücke, Pixnapping

Android-Sicherheitslücke: Pixnapping stiehlt Passwörter ohne Berechtigung

14.10.2025 - 16:27:01

Eine neu entdeckte Android-Schwachstelle ermöglicht das Auslesen sensibler Bildschirmdaten ohne Nutzerberechtigungen. Forscher demonstrierten erfolgreiche Angriffe auf Authenticator-Codes und private Nachrichten.

Eine neu entdeckte Sicherheitslücke in Android ermöglicht es bösartigen Apps, sensible Bildschirmdaten wie Zwei-Faktor-Codes oder Bankinformationen zu stehlen – ganz ohne Nutzerberechtigungen. Der „Pixnapping“ getaufte Angriff rekonstruiert Informationen Pixel für Pixel und hebelt damit Androids Sicherheitsmodell aus.

Forscher demonstrierten die Attacke erfolgreich auf aktuellen Google Pixel- und Samsung-Smartphones. Dabei extrahierten sie Authentifizierungscodes aus Google Authenticator in weniger als 30 Sekunden. Google stufte die Schwachstelle als hochkritisch ein und arbeitet nach einem unvollständigen ersten Patch an einer umfassenderen Lösung.

Pixel-Diebstahl ohne Berechtigung

Pixnapping kombiniert legitime Android-Funktionen mit einer Hardware-Schwachstelle zu einem raffinierten Seitenkanalangriff. Anders als herkömmliche Schadsoftware benötigt eine Pixnapping-App keinerlei Berechtigungen – was die Erkennung extrem erschwert.

Der Angriff läuft mehrstufig ab: Zunächst startet die Schad-App über sogenannte „Intents“ heimlich eine Ziel-Anwendung wie Google Authenticator im Hintergrund. Anschließend legt sie einen halbtransparenten Weichzeichner-Effekt über die Pixel der Ziel-App.

Durch Messung der Renderzeiten der Grafikeinheit kann die App die Farbe jedes einzelnen Pixels ermitteln. Diese als „GPU.zip“ bekannte Seitenkanalattacke ermöglicht es, sensible Daten vollständig zu rekonstruieren – ohne je einen Screenshot zu erstellen.

Von Authenticator-Codes bis zu privaten Nachrichten

Die Auswirkungen sind beträchtlich: Ein Forschungsteam von UC Berkeley, Carnegie Mellon und der University of Washington demonstrierte erfolgreiche Angriffe auf verschiedene populäre Apps.

Google Authenticator gab seine sechsstelligen Einmalcodes preis, bevor diese abliefen. Sogar Signals „Screen Security“-Funktion, die Screenshots verhindern soll, umging Pixnapping mühelos und ermöglichte den Diebstahl privater Nachrichten.

Weitere Ziele umfassen Gmail-Inhalte, Google Maps-Standortdaten und Finanztransaktionen aus Apps wie Venmo. Obwohl nur auf Google Pixel 6-9 und Samsung Galaxy S25 mit Android 13-16 getestet, warnen die Forscher vor einer weitreichenden Betroffenheit aller modernen Android-Geräte.

Googles Flickwerk und Hardware-Problem

Im Februar 2025 meldeten die Forscher ihre Entdeckung an Google, das die Lücke als CVE-2025-48561 klassifizierte. Ein erster Patch im September-Sicherheitsupdate erwies sich jedoch als unvollständig – die Forscher entwickelten rasch eine Umgehung.

Google bestätigte das Problem und kündigte einen umfassenderen Patch für Dezember 2025 an. Ein Unternehmenssprecher betonte, es gebe keine Hinweise auf aktive Ausnutzung in freier Wildbahn. Die Google Play-Überwachung habe bislang keine Schad-Apps mit dieser Technik entdeckt.

Das Grundproblem bleibt jedoch bestehen: Die zugrundeliegende GPU-Hardware-Schwachstelle ist von den Chip-Herstellern noch nicht behoben.

Fundamentaler Bruch des Android-Sicherheitsmodells

Sicherheitsexperten sehen in Pixnapping einen fundamentalen Bruch der App-Isolation, die Androids Sicherheit garantieren soll. „Konzeptionell ist es, als könnte jede App Screenshots anderer Apps machen – ganz ohne Berechtigung“, erklärt Forscher Riccardo Paccagnella von Carnegie Mellon.

Die Technik belebt eine bereits vor über zehn Jahren für Webbrowser theoretisierte Angriffsklasse wieder – angepasst an moderne mobile Umgebungen. Anders als Schadsoftware, die auf Social Engineering setzt, stellt Pixnappings berechtigungslose Natur eine noch heimtückischere Bedrohung dar.

Was Nutzer jetzt tun können

Bis zum erwarteten Google-Patch im Dezember sollten Android-Nutzer besondere Vorsicht walten lassen. Sicherheitsupdates sollten umgehend installiert werden, sobald sie verfügbar sind.

Anzeige: Wenn selbst Screenshot-Sperren ausgehebelt werden, zählen die Basics doppelt. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen, mit denen Sie WhatsApp, Banking und Authenticator sicherer machen – ganz ohne teure Zusatz-Apps. Mit Schritt-für-Schritt-Anleitungen und Checklisten für Updates, App-Prüfungen und sensible Berechtigungen. Jetzt das kostenlose Android-Sicherheitspaket herunterladen

Beim App-Download empfiehlt sich strikte Beschränkung auf den offiziellen Google Play Store – dessen Überwachungsmechanismen bieten zumindest einen gewissen Schutz. Die Forscher planen, den Pixnapping-Quellcode nach Verfügbarkeit wirkungsvoller Patches zu veröffentlichen.

Die Entdeckung setzt nicht nur Google unter Druck, sondern auch GPU-Hersteller, die grundlegende Hardware-Schwachstellen beheben müssen.

@ boerse-global.de