Pixnapping: Neue Android-Schwachstelle ermöglicht unsichtbaren Datenklau

Eine neu entdeckte Sicherheitslücke bedroht praktisch alle modernen Android-Geräte. Die „Pixnapping“ genannte Attacke ermöglicht es Angreifern, sensible Daten wie Passwörter und Zwei-Faktor-Codes direkt vom Bildschirm zu stehlen – ohne jegliche Nutzerberechtigungen.

Forscher der University of California Berkeley, der University of Washington und der Carnegie Mellon University haben heute eine raffinierte Angriffsmethode vorgestellt, die Informationen anderer Apps Pixel für Pixel abgreifen kann. Die Attacke funktioniert bei Android-Versionen 13 bis 16 und betrifft auch Flaggschiff-Geräte wie Googles Pixel-Serie und Samsungs Galaxy S25.

Das Besonders Perfide: Die Technik umgeht herkömmliche Sicherheitsmodelle durch Ausnutzung grundlegender Android-Grafikprozesse. Was bedeutet das für die 480 Millionen Android-Nutzer allein in Europa?

Anders als herkömmliche Malware benötigt eine Pixnapping-App keinerlei besondere Berechtigungen. Sobald der Nutzer die schädliche Anwendung öffnet, kann sie im Hintergrund gezielt andere Apps wie den Google Authenticator starten und deren Bildschirminhalte systematisch rekonstruieren.

Die Forscher demonstrierten, wie sich ein 2FA-Code in unter 30 Sekunden stehlen lässt – völlig unbemerkt vom Nutzer. Betroffen sind populäre Apps wie Gmail, Signal und Venmo.

So funktioniert die Pixel-Spionage

Der technische Kern des Angriffs liegt in der Manipulation von Android Intents und der Window-Blur-API. Die schädliche App nutzt diese Systemkomponenten, um sensible Apps zur Darstellung ihrer Inhalte zu zwingen. Anschließend legt sie eine Serie halbtransparenter Aktivitäten über den Zielbildschirm.

Durch das Auslösen grafischer Operationen wie Unschärfe-Effekte auf den angezeigten Pixeln kann die Angreifer-App die Verarbeitungszeit messen. Diese Timing-Unterschiede verraten über einen Hardware-Seitenkanal die Farbe jedes einzelnen Pixels.

Bedrohungslage spitzt sich zu

Pixnapping kommt zu einem denkbar ungünstigen Zeitpunkt. Malwarebytes meldete für die erste Jahreshälfte 2025 einen Anstieg der Android-Malware um 151 Prozent. Spyware legte sogar um 147 Prozent zu.

Gleichzeitig etablieren sich immer ausgefeiltere Remote-Access-Trojaner. Die „AntiDot“-Malware wird bereits als Service verkauft, ein neuer RAT auf GitHub rühmt sich mit „vollständiger Unsichtbarkeit“ bei Live-Screenshots und Tastatur-Aufzeichnung.

Anzeige: Passend zum Thema Android-Sicherheit: Sie können Ihr Smartphone mit wenigen, einfachen Schritten deutlich besser schützen – ohne teure Zusatz-Apps. Der kostenlose Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ führt Sie Schritt für Schritt durch Update-Check, Berechtigungen, geprüfte App-Quellen sowie sicheres Banking und Shopping. Ideal für Alltagsnutzer, schnell umgesetzt. Jetzt das kostenlose Android-Sicherheitspaket sichern

Googles Patch bereits umgangen

Google hat die Schwachstelle (CVE-2025-48561) anerkannt und im September einen ersten Patch veröffentlicht. Dieser sollte die Anzahl der Blur-API-Aufrufe begrenzen. Doch die Forscher entwickelten bereits am 8. September eine Umgehung – ein klares Signal, dass grundlegende Architektur-Änderungen nötig sind.

Eine umfassendere Lösung soll im Dezember-Sicherheitsbulletin erscheinen. Bis dahin empfehlen Experten extreme Vorsicht beim App-Download, besonders außerhalb des Google Play Stores.

Die Null-Berechtigungs-Natur von Pixnapping macht eine Erkennung durch herkömmliche Methoden nahezu unmöglich. Nutzer sollten nur Apps vertrauensvoller Entwickler installieren und Sicherheitsupdates sofort einspielen. Denn eines wird klar: Die Sicherheit mobiler Geräte hängt zunehmend von der Kombination aus Plattform-Schutz und wachsamer Nutzung ab.