Pixnapping: Neue Android-Schwachstelle klaut 2FA-Codes

Eine raffinierte Angriffsmethode hebelt Androids Sicherheitssystem aus und stiehlt vertrauliche Bildschirmdaten – ganz ohne verdächtige Berechtigungen.

Forscher mehrerer US-Universitäten haben einen ausgeklügelten Cyberangriff namens „Pixnapping“ entdeckt, der sensible Daten direkt vom Bildschirm Android-getriebener Smartphones abgreifen kann. Die Attacke funktioniert bei allem, was auf dem Display erscheint: Einmalpasswörter aus Google Authenticator, private Signal-Nachrichten oder Bankdaten aus Finanz-Apps. Das Perfide daran? Nutzer merken nichts davon.

Die Schwachstelle betrifft moderne Android-Geräte und wurde von Forschungsteams der University of California Berkeley, University of Washington, UC San Diego und Carnegie Mellon University aufgedeckt. Google kennt das Problem seit Februar 2025, doch ein erster Patch vom September erwies sich bereits als umgehbar.

Die Genialität von Pixnapping liegt in seiner Tarnung: Die Angreifer missbrauchen völlig legitime Android-Funktionen. Zunächst täuscht eine harmlos aussehende App den Nutzer – beispielsweise getarnt als Spiel oder Utility-Tool.

Die Schadsoftware startet dann über Androids „Intents“-System andere Apps wie Google Authenticator und legt halbtransparente Ebenen darüber. Dadurch gelangen die sensiblen Pixel in die GPU-Verarbeitungsschleife. Durch präzise Zeitmessungen der Grafikoperationen können die Angreifer einzelne Pixel rekonstruieren – eine Methode namens „GPU.zip“.

Das Resultat? In Tests stahlen die Forscher 6-stellige 2FA-Codes binnen 30 Sekunden – genau dem Zeitfenster, bevor diese ablaufen.

Millionen Geräte potentiell betroffen

Die Schwachstelle wurde erfolgreich auf Googles Pixel-Modellen 6 bis 9 sowie dem Samsung Galaxy S25 demonstriert. Android-Versionen 13 bis 16 sind verwundbar. Da die zugrundeliegenden Mechanismen weit verbreitet sind, dürften auch andere Hersteller betroffen sein.

Die Angriffsziele sind vielfältig:
– Google Authenticator: Diebstahl zeitkritischer 2FA-Codes
– Signal: Private Nachrichten trotz aktivierter Bildschirmsperre
– Gmail: E-Mail-Inhalte und Kontodaten
– Venmo: Kontostände und Transaktionsverläufe
– Google Maps: Standortverlauf aus der Timeline-Funktion

Bei Pixel-Geräten lag die Erfolgsquote für 2FA-Code-Diebstahl zwischen 29 und 73 Prozent. Samsung-Nutzer haben derzeit noch Glück: Das Galaxy S25 erwies sich aufgrund von „erheblichem Rauschen“ im Rendering-Prozess als resistenter.

Anzeige: Passend zum Thema Android-Sicherheit: Viele Nutzer übersehen genau die 5 Maßnahmen, die im Alltag die meiste Angriffsfläche schließen – ganz ohne Zusatz-Apps. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie WhatsApp, Online‑Banking & Co. besser absichern und riskante Lücken schließen. Jetzt das kostenlose Android‑Sicherheitspaket sichern

Google arbeitet an umfassendem Patch

Google stufte die Schwachstelle als CVE-2025-48561 mit hohem Schweregrad ein. Der erste Reparaturversuch im September-Update sollte die Anzahl gleichzeitig verwischbarer App-Aktivitäten begrenzen – wurde aber schnell ausgehebelt.

Für Dezember 2025 kündigt Google einen robusteren Patch an. Bislang gebe es keine Hinweise auf Angriffe in freier Wildbahn oder entsprechende Schad-Apps im Play Store. Die Hardware-Schwachstelle GPU.zip bleibt jedoch ungepatcht – hier sind die GPU-Hersteller gefordert.

Neue Dimension der Smartphone-Bedrohung

Pixnapping markiert einen Wendepunkt in der mobilen Sicherheit. Während bisherige 2FA-Angriffe meist auf SMS-Abfang oder Accessibility-Services setzten, kommt diese Methode völlig ohne verdächtige Berechtigungen aus.

Schutzmaßnahmen bis zum Patch:
– Apps ausschließlich aus dem Google Play Store installieren
– App-Bewertungen kritisch prüfen
– Android-System und Apps stets aktuell halten
– Bei hochsensiblen Daten wie Krypto-Seeds: Offline-Geräte bevorzugen

Anzeige: Bis Google den Patch ausliefert: Minimieren Sie Ihr Risiko mit wenigen Klicks. Der Gratis‑Leitfaden „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ zeigt praxiserprobte Einstellungen und Checks – schnell umgesetzt, auch für Einsteiger. Kostenlosen Sicherheits‑Ratgeber per E‑Mail anfordern

Die Forscher wollen den Pixnapping-Code nach Verfügbarkeit wirksamer Patches veröffentlichen. Bis dahin bleibt die Bedrohung theoretisch – doch das Know-how für solche Angriffe lässt sich durchaus in harmlos wirkende Apps verpacken.