Android-apparaten van Google en Samsung zijn kwetsbaar bevonden voor een zijkanaalaanval die kan worden uitgebuit om heimelijk tweefactorauthenticatiecodes (2FA), Google Maps-tijdlijnen en andere gevoelige gegevens te stelen zonder medeweten van de gebruiker, pixel voor pixel.
De aanval heeft de codenaam gekregen Pixnapping door een groep academici van de University of California (Berkeley), University of Washington, University of California (San Diego) en Carnegie Mellon University.
Pixnapping is in de kern een raamwerk voor het stelen van pixels dat is gericht op Android-apparaten op een manier die browserbeperkingen omzeilt en zelfs gegevens overhevelt van niet-browserapps zoals Google Authenticator door te profiteren van Android API’s en een hardware-zijkanaal, waardoor een kwaadwillende app de techniek kan gebruiken om 2FA-codes in minder dan 30 seconden vast te leggen.
“Onze belangrijkste observatie is dat Android API’s een aanvaller in staat stellen om buiten de browser een aanval in analogie met (Paul) Stone-stijl te creëren”, aldus de onderzoekers in een paper. “Concreet kan een kwaadaardige app slachtofferpixels in de weergavepijplijn dwingen via Android-intenties en deze slachtofferpixels berekenen met behulp van een stapel semi-transparante Android-activiteiten.”
Het onderzoek richtte zich specifiek op vijf apparaten van Google en Samsung met Android-versies 13 tot en met 16. Hoewel het niet duidelijk is of Android-apparaten van andere Original Equipment Manufacturers (OEM’s) vatbaar zijn voor Pixnapping, is de onderliggende methodologie die nodig is om de aanval uit te voeren aanwezig op alle apparaten met het mobiele besturingssysteem.
Wat de nieuwe aanval zo belangrijk maakt, is dat elke Android-app kan worden gebruikt om deze uit te voeren, zelfs als aan de applicatie geen speciale machtigingen zijn gekoppeld via het manifestbestand. De aanval veronderstelt echter dat het slachtoffer op een andere manier is overtuigd om de app te installeren en te starten.
Het zijkanaal dat Pixnapping mogelijk maakt is GPU.zip, dat in september 2023 door enkele van dezelfde onderzoekers werd onthuld. De aanval maakt in wezen gebruik van een compressiefunctie in moderne geïntegreerde GPU’s (iGPU’s) om cross-origin pixel-stelende aanvallen in de browser uit te voeren met behulp van SVG-filters.
De nieuwste aanvalsklasse combineert dit met de Window Blur-API van Android om weergavegegevens te lekken en diefstal uit slachtoffer-apps mogelijk te maken. Om dit te bereiken wordt een kwaadaardige Android-app gebruikt om app-pixels van het slachtoffer naar de weergavepijplijn te sturen en semi-transparante activiteiten over elkaar heen te leggen met behulp van intents – een Android-softwaremechanisme dat navigatie tussen applicaties en activiteiten mogelijk maakt.
Met andere woorden, het idee is om een doel-app aan te roepen die interessante informatie bevat (bijvoorbeeld 2FA-codes) en ervoor te zorgen dat de gegevens worden ingediend voor weergave, waarna de frauduleuze app het apparaat isoleert de coördinaten van een doelpixel isoleert (dat wil zeggen degenen die de 2FA-code bevatten) en een stapel semi-transparante activiteiten induceert om die pixel te maskeren, vergroten en verzenden met behulp van het zijkanaal. Deze stap wordt vervolgens herhaald voor elke pixel die naar de renderingpijplijn wordt gepusht.
De onderzoekers zeiden dat Android kwetsbaar is voor Pixnapping vanwege een combinatie van drie factoren waardoor een app:
- De activiteiten van een andere app naar de Android-renderingpijplijn sturen (bijvoorbeeld met intenties)
- Grafische bewerkingen uitvoeren (bijvoorbeeld vervagen) op pixels die worden weergegeven door de activiteiten van een andere app
- Meet de pixelkleurafhankelijke bijwerkingen van grafische bewerkingen
Google volgt het probleem onder de CVE-identificatiecode CVE-2025-48561 (CVSS-score: 5,5). Patches voor de kwetsbaarheid werden uitgegeven door de technologiegigant als onderdeel van het Android Security Bulletin van september 2025, waarbij Google opmerkte dat: “Een applicatie die heel veel onscherpte vraagt: (1) het stelen van pixels mogelijk maakt door te meten hoe lang het duurt om een onscherpte over vensters uit te voeren, (en) (2) waarschijnlijk sowieso niet erg geldig is.”
Sindsdien is echter aan het licht gekomen dat er een oplossing bestaat die kan worden gebruikt om Pixnapping opnieuw in te schakelen. Er wordt gezegd dat het bedrijf aan een oplossing werkt.
Bovendien bleek uit het onderzoek dat het voor een aanvaller als gevolg van dit gedrag mogelijk is om te bepalen of er een willekeurige app op het apparaat is geïnstalleerd, waarmee de beperkingen worden omzeild die sinds Android 11 zijn ingevoerd en die voorkomen dat de lijst met alle geïnstalleerde apps op het apparaat van een gebruiker kan worden opgevraagd. De omzeiling van de applijst blijft ongepatcht en Google markeert deze als ‘wordt niet opgelost’.
“Net als bij browsers in het begin, maakt het opzettelijk samenwerkende en multi-actor ontwerp van de gelaagdheid van mobiele apps de voor de hand liggende beperkingen onaantrekkelijk”, concludeerden de onderzoekers.
“App-gelaagdheid verdwijnt niet, en gelaagde apps zouden nutteloos zijn als er geen cookies van derden worden gebruikt. Een realistisch antwoord is om de nieuwe aanvallen net zo onaantrekkelijk te maken als de oude: laat gevoelige apps zich afmelden en beperk de meetmogelijkheden van de aanvaller, zodat elke proof-of-concept precies dat blijft.”
