Eine neue Android-Sicherheitsanfälligkeit, die als Pixnapping bezeichnet wird, ermöglicht es bösartigen Anwendungen, sensible Daten innerhalb von weniger als 30 Sekunden vom Bildschirm zu stehlen, ohne spezielle Berechtigungen.

Forscher haben eine schwerwiegende Sicherheitsanfälligkeit in Android entdeckt, die als Pixnapping bezeichnet wird und es bösartigen Anwendungen ermöglicht, schnell sensible Daten vom Bildschirm zu stehlen, wie z.B. Google Authenticator-Codes, Signal-Nachrichten und finanzielle Informationen von Venmo. Pixnapping umgeht das Berechtigungsmodell von Android, indem es alles, was auf dem Bildschirm sichtbar ist, erfasst, ohne spezielle Berechtigungen zu benötigen. Der Angriff manipuliert das Android-Wiedergabesystem, um Daten pixelweise zu extrahieren, unter Verwendung fortschrittlicher Techniken zur optischen Zeichenerkennung (OCR). Die Sicherheitsanfälligkeit ist mit einem Seitenkanalproblem des Grafikprozessors verbunden, das als GPU.zip bezeichnet wird und es Anwendungen ermöglicht, die Variationen der Wiedergabezeit zu beobachten. Google hat Pixnapping als eine Sicherheitsanfälligkeit mit hoher Schwere bewertet und eine teilweise Lösung veröffentlicht, aber die Forscher konnten sie schnell umgehen. Derzeit gibt es keine sichere Methode für Benutzer, sich gegen Pixnapping zu schützen, und Systemupdates werden empfohlen.