© Pexels / Ron Lach

Digital Life

Neue Android-Attacke stiehlt all eure Geheimnisse

„Pixnapping“ kann Pixel für Pixel den Inhalt des Bildschirms auslesen. Nutzerinnen und Nutzer merken davon nichts.

Der Chat mit dem Gspusi, berufliche E-Mails, Standort, Passwörter, Kontostand – auf dem Smartphone sind häufig Informationen zu sehen, die man gerne für sich behält. Doch über eine neue Art an Cyberangriff, „Pixnapping“ genannt, kann das, was auf dem Display angezeigt wird, ausgelesen werden, fast so, als würde einem jemand über die Schulter blicken.

Ein Forschungsteam der University of California, der University of Washington und der Carnegie Mellon University hat „Pixsnapping“ auf verschiedenen Android-Geräten ausprobiert und für eine Sicherheitskonferenz ein Forschungspapier dazu geschrieben. Auf mehreren Google Pixel-Modellen sowie einem Samsung Galaxy S25 konnten sie u.a. Google-Account-Informationen, E-Mails, Chatnachrichten, Google Maps und in manchen Fällen sogar Codes für die 2-Faktor-Authentifizierung auslesen.

Mehr lesen: Die besten Authenticator-Apps 2025 für iOS und Android

Mit infizierter App Pixel für Pixel auslesbar

Der Angriff passiert über eine infizierte App, die eine Programmierschnittstelle (API) von Android ausnutzt. Die Angreifer wählen dann zunächst aus, von welcher App – z.B. Gmail oder Google Authenticator – sie Daten auslesen wollen. Als nächstes stoßen sie grafische Operationen – üblicherweise den Weichzeichner-Effekt – bei einem Pixel an, über den die gewünschte Information angezeigt wird.

Dadurch kann anschließend der Wert des entsprechenden Pixels über die Grafikkarte „gestohlen“ werden. Pixel für Pixel können die Angreifer dann das nachbilden, was auf dem Smartphone-Display dargestellt wird.

Betroffene merken nichts von den stundenlangen Attacken

Das Perfide dabei: Die infizierte App braucht keine besonderen Berechtigungen, etwa Kamera- oder Standortzugriff. Und: Nutzerinnen und Nutzer bekommen von dem Pixnapping nichts mit, denn über den weichgezeichneten Pixel kommt ein weiterer Effekt, der diesen verbirgt.

➤ Mehr lesen: TU Wien entdeckt schwere Android-Sicherheitslücke

Die Dauer der Attacke hängt davon ab, wie viele Pixel gestohlen werden sollen. In ihren Tests brauchten die Forscherinnen und Forscher 3-8 Stunden, um alle Informationen aus der Übersichtsseite eines Google-Accounts auszulesen. Darin enthalten sind nicht nur E-Mail-Adresse und Account-Einstellungen, sondern oft auch Wohnadresse, Geburtsdatum und Telefonnummer. Um die komplette „Location History“, also den Verlauf der Aufenthaltsorte eines Smartphones, via Pixnapping herauszufinden, brauchte das Team 20-27 Stunden

Selbst bei Signal, das mit Ende-zu-Ende-Verschlüsselung als besonders sicherer Messenger gilt, konnten die Forscherinnen und Forscher einzelne Nachrichten auslesen. Dafür waren zwischen 95.000 und 100.000 einzelne Pixelwerte nötig, was 25-42 Stunden dauerte.

Mehr lesen: 7 Tipps, mit denen ihr Signal sicherer macht

2-Faktor-Authentifizierungscodes in 30 Sekunden

Wollen Angreifer einen 2FA-Code stehlen, müssen sie allerdings weit schneller sein. Denn er ist jeweils nur für 30 Sekunden gültig. Um die Attacke innerhalb von Google Authenticator zu beschleunigen, machte sich das Forschungsteam die Schriftart der App – Google Sans – zum Gehilfen: Nur die Pixel, die einzelne Ziffern voneinander unterscheiden, wurden ausgelesen.

Beim Google Pixel 6 gelang es ihnen in 73 Prozent der Fälle, den 6-stelligen Code rechtzeitig vollständig auszulesen, denn es dauerte durchschnittlich nur 14,3 Sekunden. Auch bei den Modellen Pixel 7, Pixel 8 und Pixel 9 konnten sie den Code in durchschnittlich unter 26 Sekunden herausfinden. Auf dem Samsung Galaxy 25 war diese Art der Attacke im Test nicht erfolgreich.

Beim Pixel 6 von 2021 ging die 2FA-Attacke im Test besonders schnell (Symbolbild)

© Google

Frühere Pixel-Stealing-Attacken im Browser

2013 war eine ähnliche Sicherheitslücke bekannt geworden, bei der Pixel über iframes im Browser ausgelesen werden konnten. Neuere Browser unterbinden diese Praxis mittlerweile.

Im Gegensatz zu damals ist das heutige Pixnapping nicht auf das beschränkt, was im Browser zu sehen ist, sondern betrifft sämtliche Apps auf einem Android-Handy. Die Studienautorinnen und -autoren sprechen sich daher dafür aus, dass Apps das Manipulieren von Pixeln durch andere Apps grundsätzlich unterbinden können sollten. Das gelte besonders für heikle Anwendungen – etwa Banking oder verschlüsselte Kommunikation.

Sicherheitslücke an Google und Samsung gemeldet

Die Forscherinnen und Forscher haben die Sicherheitslücke im Februar diesen Jahres an Google gemeldet. Ein Android-Update vom 2. September sollte sie schließen, doch das Forschungsteam fand abermals eine Möglichkeit, die Sicherheitsvorkehrungen zu umgehen. 

Ob und wann Google angesichts der weiterhin bestehenden Angriffsgefahr reagiert, sei zum jetzigen Zeitpunkt noch unklar. Auch habe sich bisher kein Grafikkartenhersteller verpflichtet, seine Hardware zu patchen.

Android updaten

Nutzerinnen und Nutzer können sich kaum selbstständig vor Pixnapping schützen. Das Forschungsteam empfiehlt allerdings dringend, die aktuellen Android-Sicherheits-Patches schnellstmöglich zu installieren

Ob Pixnapping auch eine Gefahr für andere Betriebssysteme ist, sei noch unklar. Ebenfalls unbekannt ist, ob diese Art des Cyberangriffs tatsächlich zum Einsatz kommt, denn Nachweise dazu fehlten bisher.

Klicken Sie hier für die Newsletteranmeldung

Hat dir der Artikel gefallen? Jetzt teilen!

(futurezone) | Stand: 14.10.2025, 17:10 Uhr

Mehr zum Thema

Science

TU Wien entdeckt schwere Android-Sicherheitslücke

Apps

7 Tipps, mit denen ihr Signal sicherer macht

Apps

Die besten 2-Faktor-Authentifizierungs-Apps für iOS und Android