Pixnapping: Android-Lücke stiehlt Handy-Codes in 30 Sekunden

Ein neues Schadverfahren namens “Pixnapping” ermöglicht es bösartigen Apps, sensible Bildschirmdaten von Android-Geräten abzugreifen – darunter Zwei-Faktor-Codes und private Nachrichten. Google hat zwar einen ersten Patch veröffentlicht, doch die vollständige Lösung lässt bis Dezember auf sich warten.

Sicherheitsforscher mehrerer US-Universitäten haben eine raffinierte neue Attacke gegen das Android-Betriebssystem entdeckt. Die als CVE-2025-48561 klassifizierte Schwachstelle erlaubt es schädlichen Apps, Pixel für Pixel Screenshots anderer Anwendungen zu erstellen – und das völlig ohne spezielle Berechtigungen.

Besonders brisant: Die Forscher konnten erfolgreich Zwei-Faktor-Codes aus Google Authenticator in weniger als 30 Sekunden stehlen. Betroffen sind moderne Geräte wie Googles Pixel 6 bis 9 sowie das Samsung Galaxy S25.

So funktioniert der clevere Hardware-Trick

Das Pixnapping-Verfahren nutzt einen sogenannten Side-Channel-Angriff. Dabei platziert eine bösartige App nahezu transparente Fenster über die Ziel-Anwendung und misst winzige Timing-Signale, die bei der Darstellung einzelner Pixel entstehen.

Die Technik umgeht geschickt Androids Sicherheitsmodell, das eigentlich Apps voneinander isolieren soll. Noch besorgniserregender: Jede laufende Android-App kann den Angriff ausführen – selbst ohne dass der Nutzer ihr spezielle Rechte eingeräumt hat.

Die Forscher der University of California, Carnegie Mellon University und University of Washington demonstrierten die Wirksamkeit eindrucksvoll. Neben 2FA-Codes können auch private Chat-Nachrichten, E-Mail-Inhalte oder Finanzinformationen abgegriffen werden.

Google reagiert mit Verzögerung

Google wurde bereits im Februar über die Lücke informiert. Ein erster Patch erschien im September-Sicherheitsupdate, erwies sich jedoch als unvollständig. Die Forscher konnten die Schutzmaßnahme umgehen.

Ein Google-Sprecher bestätigt, dass derzeit kein Missbrauch der Schwachstelle bekannt sei. Ein umfassendes Update folge im Dezember-Sicherheitsbulletin. Bis dahin soll der vorinstallierte Google Play Protect-Dienst vor bekannten Schadprogrammen schützen.

Samsung hat bereits begonnen, sein Oktober-Update zu verteilen. Die vollständige Pixnapping-Lösung müssen aber auch Galaxy-Nutzer bis Dezember abwarten.

Warum diese Lücke so gefährlich ist

Der Angriff zeigt die Grenzen aktueller App-Sicherheit auf. Zwar muss der Nutzer zunächst eine schädliche App installieren – der eigentliche Datendiebstahl erfolgt jedoch vollkommen unbemerkt.

Besonders problematisch: Google Authenticator gilt als wichtiges Sicherheitswerkzeug für Millionen Nutzer. Können Kriminelle diese Codes abfangen, steht der Schutz ganzer Online-Konten auf dem Spiel.

Die Forscher warnen, dass prinzipiell alle sichtbaren Bildschirminhalte gestohlen werden können – von Signal-Nachrichten bis zu Banking-Details.
Anzeige: Übrigens: Wer sich vor Datendieben und Schad-Apps schützen möchte, sollte jetzt die 5 wichtigsten Android-Schutzmaßnahmen prüfen. Der kostenlose Ratgeber zeigt Schritt für Schritt, wie Sie WhatsApp, Online-Banking und PayPal ohne teure Zusatz-Apps absichern – inklusive Checklisten für geprüfte Apps, automatische Prüfungen und wichtige Updates. Tipp 3 schließt eine oft unterschätzte Lücke. Jetzt kostenloses Android‑Sicherheitspaket sichern

Was Nutzer jetzt tun können

Bis zum Dezember-Patch bleibt nur erhöhte Vorsicht. Sicherheitsexperten raten dringend dazu, nur Apps aus dem offiziellen Google Play Store zu installieren. Auch dort sollten Bewertungen und angeforderte Berechtigungen kritisch geprüft werden.

Verfügbare Sicherheitsupdates von Google und dem Gerätehersteller sollten sofort installiert werden. Die Pixnapping-Entdeckung dürfte weitere Forschung zu Hardware-basierten Angriffen auf Mobilgeräte anstoßen.

Für Google steht nun die Glaubwürdigkeit auf dem Spiel: Der Dezember-Patch muss die Lücke vollständig schließen, ohne die Geräteleistung zu beeinträchtigen.