Android-Schwachstelle: Pixnapping klaut 2FA-Codes ohne Berechtigung
Eine neu entdeckte Sicherheitslücke namens Pixnapping ermöglicht Android-Apps, ohne Nutzerberechtigung 2FA-Codes und Bankdaten zu stehlen. Google arbeitet an umfassender Lösung für Dezember 2025.
Eine neu entdeckte Angriffsmethode namens “Pixnapping” ermöglicht es bösartigen Android-Apps, sensible Bildschirmdaten zu stehen – ganz ohne Nutzererlaubnis. Zwei-Faktor-Authentifizierungscodes, private Nachrichten und Bankdaten sind betroffen.
Die von Sicherheitsforschern diese Woche vorgestellte Schwachstelle nutzt grundlegende Betriebssystemfunktionen aus und greift über eine Hardware-Seitenkanalattacke Pixel für Pixel Daten ab. Betroffen sind moderne Smartphones von Google Pixel bis Samsung Galaxy. Millionen Android-Nutzer könnten einem raffinierten Datendiebstahl ausgesetzt sein.
Der perfekte digitale Coup
Pixnapping umgeht geschickt Androids Sicherheitsmechanismen, die Apps eigentlich voneinander isolieren sollen. Eine bösartige App startet zunächst eine legitime Anwendung wie Google Authenticator oder eine Banking-App. Statt diese normal zu öffnen, leitet sie die Darstellung in die Android-Rendering-Pipeline um.
Anschließend legt die Malware unsichtbare, halbtransparente Bildschirme über die Ziel-App. Durch Messung der Farbwerte einzelner Pixel kann sie sensible Informationen rekonstruieren – etwa sechsstellige Login-Codes. Die Daten werden über den GPU-Seitenkanal “GPU.zip” abgegriffen.
Die Forscher demonstrierten den Angriff erfolgreich auf Google Pixel 6 bis 9 und Samsung Galaxy S25-Geräten mit Android 13 bis 16.
Google bestätigt: Hohe Bedrohungsstufe
Das Forschungsteam der Carnegie Mellon University informierte Google bereits im Februar 2025 über ihre Entdeckung. Der Konzern stufte das Problem als “High Severity”-Schwachstelle ein und vergab die Kennung CVE-2025-48561.
In Tests klauten die Forscher 2FA-Codes aus Google Authenticator binnen 30 Sekunden von mehreren Pixel-Modellen. Auch Signal, Venmo, Gmail und Google Maps erwiesen sich als angreifbar.
Google veröffentlichte im September eine erste Abwehrmaßnahme. Doch die Sicherheitsexperten fanden bereits einen Umgehungsweg – die Geräte bleiben verwundbar.
Mobile Geräte im Fadenkreuz
Pixnapping verdeutlicht einen besorgniserregenden Trend: Cyberkriminelle fokussieren sich verstärkt auf Smartphones. Mobile Phishing-Angriffe und Malware nehmen drastisch zu, die Angreifer setzen auf immer raffiniertere Social-Engineering-Methoden.
Besonders tückisch: Pixnapping benötigt keinerlei Berechtigungen vom Nutzer – anders als herkömmliche Malware. Selbst vorsichtige Anwender können kompromittiert werden.
Die Schwachstelle nutzt grundlegende Betriebssystem- und Hardware-Funktionen aus. Das lässt ein breites Spektrum Android-Geräte als gefährdet erscheinen.
Anzeige: Übrigens: Wer sich vor raffinierten Smartphone-Angriffen wie Pixnapping und Co. besser schützen möchte, findet konkrete Hilfe in einem kostenlosen Sicherheitspaket. Es erklärt in einfachen Schritt-für-Schritt-Anleitungen die 5 wichtigsten Maßnahmen, mit denen Sie Ihr Android ohne teure Zusatz-Apps absichern – inklusive Tipps für WhatsApp, Online‑Banking und automatische Prüfungen. Ideal für alle, die ihre Daten bis zum nächsten Sicherheitsupdate bestmöglich schützen wollen. Jetzt kostenloses Android‑Sicherheitspaket anfordern
Fundamentaler Sicherheitsfehler aufgedeckt
Pixnapping stellt das App-Sandboxing-Prinzip infrage – einen Grundpfeiler der Android-Sicherheit. Apps sollen eigentlich voneinander isoliert bleiben. Dass eine berechtigungslose App dennoch Daten aus einer anderen stehlen kann, bricht dieses Sicherheitsmodell fundamental auf.
Googles erste Reparatur beschränkte den Zugriff auf bestimmte Programmierschnittstellen. Die Existenz einer Umgehung zeigt jedoch, wie komplex die vollständige Behebung sein wird.
Die Situation erinnert an Hardware-Seitenkanalattacken wie Spectre und Meltdown, die grundlegende Änderungen in Software und Hardware erforderten. Pixnapping könnte mehr als nur einen einfachen Patch benötigen.
Umfassender Patch für Dezember angekündigt
Google entwickelt eine umfassendere Lösung für CVE-2025-48561, die im Dezember 2025 erscheinen soll. Bis dahin bleiben Hunderte Millionen Android-Geräte gefährdet.
Sicherheitsexperten raten, Apps ausschließlich über den offiziellen Google Play Store zu installieren. Google Play Protect scannt standardmäßig nach schädlichen Anwendungen und bietet eine wichtige Schutzschicht.
Die Forscher fanden bislang keine Apps im Play Store, die Pixnapping aktiv ausnutzen. Nutzer sollten das Dezember-Sicherheitsupdate umgehend installieren, sobald ihr Gerätehersteller es bereitstellt.
