Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Kwetsbaarheid Pixnapping Android-fout

Pixnapping Android-fout

Tegen Mezo in Kwetsbaarheid
Vertalen naar:

Cybersecurityonderzoekers hebben een kritieke kwetsbaarheid ontdekt die Android-apparaten van Google en Samsung treft, genaamd Pixnapping. Deze side-channel-aanval stelt een kwaadaardige app in staat om heimelijk gevoelige gegevens te stelen, waaronder codes voor tweefactorauthenticatie (2FA) en tijdlijnen van Google Maps, door schermpixels vast te leggen zonder medeweten van de gebruiker. De aanval werkt pixel voor pixel, waardoor deze zeer nauwkeurig en onopvallend is.

Hoe Pixnapping werkt: Pixel-stealing in de kern

Pixnapping is in essentie een pixel-stelend framework dat is ontworpen om standaard browserbeveiligingen te omzeilen en niet-browser-apps zoals Google Authenticator te targeten. Het maakt gebruik van Android API's en een hardware side-channel om snel gevoelige informatie te verzamelen. 2FA-codes kunnen in minder dan 30 seconden worden geëxtraheerd.

De aanval maakt op een unieke manier gebruik van de renderingpijplijn van Android:

  • Een kwaadaardige app dwingt slachtoffers om pixels in de renderingpijplijn te plaatsen met behulp van Android-intenties.
  • Vervolgens wordt een stapel semi-transparante Android-activiteiten toegepast om op die pixels te rekenen.

Deze methodologie is vergelijkbaar met de 'Stone-achtige' aanvallen die voorheen beperkt waren tot browsers, maar nu ook zijn aangepast voor native apps.

Apparaten die risico lopen en omvang van de kwetsbaarheid

In het onderzoek werden specifiek vijf Google- en Samsung-apparaten met Android-versies 13 tot en met 16 onderzocht. Hoewel andere fabrikanten niet zijn getest, zijn de onderliggende principes van de aanval aanwezig op alle Android-apparaten, waardoor het platform in grote lijnen kwetsbaar is.

Opmerkelijk genoeg kan elke Android-app Pixnapping uitvoeren zonder speciale rechten in het manifest. De aanval vereist echter wel dat het slachtoffer de schadelijke app installeert en start, vaak via social engineering of trucs.

Technische mechanica: GPU-zijkanalen en venstervervagingsexploits

Pixnapping bouwt voort op het eerder bekendgemaakte GPU.zip side-channel (september 2023), dat gebruikmaakte van compressiefuncties in geïntegreerde GPU's om cross-origin pixels in browsers te stelen. De nieuwe aanval breidt dit concept uit door het te combineren met Android's window blur API, waardoor het mogelijk wordt om pixels uit slachtoffer-apps te stelen.

Het proces werkt als volgt:

  • Een kwaadaardige app stuurt apppixels van het slachtoffer naar de renderingpijplijn.
  • Semi-transparante activiteiten worden overlapt met behulp van Android-intenties om gerichte pixels te maskeren, vergroten en verzenden.
  • Elke pixel met gevoelige gegevens wordt geïsoleerd en sequentieel geëxtraheerd.
  • Hierdoor kunnen aanvallers 2FA-codes of andere vertrouwelijke inhoud pixel voor pixel reconstrueren.

Waarom Android kwetsbaar is: drie factoren die dit mogelijk maken

Onderzoekers hebben drie omstandigheden geïdentificeerd die Pixnapping mogelijk maken:

  • Activiteiten van andere apps injecteren in de Android-renderingpijplijn.
  • Het uitvoeren van grafische bewerkingen (zoals onscherpte) op deze pixels.
  • Het meten van pixelkleurafhankelijke bijwerkingen om gevoelige informatie af te leiden.

Reactie van Google en beveiligingsupdates

Google heeft Pixnapping gevolgd onder CVE-2025-48561 (CVSS 5.5). In het Android Security Bulletin van september 2025 is een patch uitgebracht die de aanval gedeeltelijk verzacht. De patch verhelpt scenario's waarbij overmatige vervaging kan worden gebruikt om pixels te stelen.

Een tweede patch staat gepland voor december 2025 om een nieuwe aanvalsmethode te stoppen die Pixnapping opnieuw inschakelt via timingaanpassingen. Google merkte op dat voor de exploit apparaatspecifieke gegevens nodig zijn en bevestigde dat er geen actieve malware is die deze kwetsbaarheid misbruikt op Google Play.

Extra risico’s: app-detectie en privacygevolgen

Met Pixnapping kan een aanvaller ook detecteren welke apps er op een apparaat zijn geïnstalleerd. Zo omzeilt hij de beperkingen die sinds Android 11 zijn geïmplementeerd en die bedoeld zijn om app-lijsten te verbergen.

De aanval benadrukt de risico's die inherent zijn aan mobiele app-layering, een systeem waarbij apps uitgebreid samenwerken binnen het besturingssysteem. Het volledig beperken van de functionaliteit van gelaagde apps is onpraktisch; in plaats daarvan kan de verdediging zich richten op het toestaan dat gevoelige apps zich afmelden en het beperken van de mogelijkheid van aanvallers om metingen uit te voeren.

Belangrijkste punten voor gebruikers

Pixnapping is een zeer sluwe aanval die werkt zonder verhoogde app-machtigingen, waardoor het bijzonder verraderlijk is. Het risico neemt toe wanneer gebruikers apps installeren van niet-vertrouwde bronnen, aangezien kwaadaardige applicaties de kwetsbaarheid kunnen misbruiken om toegang te krijgen tot gevoelige informatie. Hoewel Google gedeeltelijke patches heeft uitgebracht om het probleem te verhelpen, wordt een volledige oplossing verwacht in december 2025. In de tussentijd moeten gebruikers waakzaam blijven en hun 2FA-apps en andere gevoelige gegevens nauwlettend in de gaten houden op tekenen van ongebruikelijke activiteit.

Trending

Meest bekeken

Bezig met laden...