Serangan Baru “Pixnapping” di Android Curi Kode MFA Piksel demi Piksel
Para peneliti keamanan siber menemukan metode serangan baru bernama Pixnapping, yang memungkinkan aplikasi Android berbahaya mencuri data sensitif seperti kode autentikasi dua faktor (MFA), pesan pribadi, atau email — tanpa memerlukan izin akses apa pun.
Serangan ini bekerja di semua versi Android modern yang telah diperbarui penuh, termasuk perangkat Google Pixel 6–9 dan Samsung Galaxy S25. Dengan teknik manipulasi grafis tingkat sistem, Pixnapping dapat menyalin tampilan layar piksel demi piksel, lalu merekonstruksi informasi visual menjadi teks menggunakan teknik OCR, hanya dalam waktu kurang dari 30 detik untuk mencuri kode MFA.
Cara Kerja Pixnapping
Pixnapping memanfaatkan kelemahan dalam sistem komposisi grafis Android yang disebut SurfaceFlinger, yang bertugas menggabungkan berbagai jendela aplikasi pada layar.
- Aplikasi berbahaya memicu target melalui sistem intent Android agar aplikasi atau halaman web korban tampil di layar.
- Serangan membuat lapisan baru (disebut masking activity) di atas aplikasi target, dengan seluruh layar berwarna putih kecuali satu piksel transparan.
- Dengan memanfaatkan cara kerja efek blur pada SurfaceFlinger, penyerang dapat memperbesar piksel transparan tersebut untuk mengetahui warna aslinya (putih atau non-putih).
- Setelah seluruh piksel disalin, sistem Optical Character Recognition (OCR) digunakan untuk menafsirkan huruf atau angka yang terbentuk — misalnya, kode 2FA dari Google Authenticator.
Secara konseptual, metode ini meniru tangkapan layar (screenshot) terhadap aplikasi lain, meskipun seharusnya Android melarang hal itu karena pembatasan izin tampilan lintas-aplikasi.
Peneliti juga menggunakan teknik GPU.zip side-channel attack, yang mengeksploitasi kompresi data grafis di GPU modern untuk membaca pola visual yang bocor.
Meskipun kecepatan bocoran data hanya 0,6–2,1 piksel per detik, optimasi algoritma membuat pencurian data seperti kode MFA enam digit dapat selesai dalam hitungan belasan detik.
Aplikasi dan Data yang Dapat Dicuri
Tim peneliti dari tujuh universitas di AS mendemonstrasikan bahwa Pixnapping dapat bekerja pada berbagai aplikasi populer, termasuk:
- Google Authenticator → mencuri kode MFA enam digit dalam <30 detik.
- Signal & Google Messages (SMS) → dapat membaca isi pesan bahkan dengan Screen Security aktif.
- Venmo → menampilkan saldo akun dan transaksi dalam waktu 3–5 jam (tanpa optimasi).
- Google Maps → merekonstruksi timeline entries dalam 20–27 jam.
- Gmail → dapat menampilkan isi email secara parsial tergantung tata letak piksel.
Hasil analisis terhadap hampir 100.000 aplikasi di Google Play menunjukkan ratusan ribu intent yang dapat dimanfaatkan untuk memicu jendela target, menandakan potensi serangan ini berskala luas.
Respons Google dan Status Perbaikan
Google menanggapi kerentanan ini sebagai CVE-2025-48561 dan sempat menambalnya pada pembaruan keamanan Android September 2025. Namun, para peneliti kemudian berhasil membypass mitigasi tersebut, membuat Google harus menyiapkan perbaikan yang lebih menyeluruh.
- Patch final direncanakan rilis pada Desember 2025.
- Samsung juga memastikan pembaruan keamanan tambahan akan disertakan untuk perangkat Galaxy.
- Belum ada vendor GPU yang mengumumkan tambalan untuk vektor serangan GPU.zip.
Google menegaskan bahwa tidak ada aplikasi berbahaya di Play Store yang memanfaatkan Pixnapping sejauh ini, dan eksploitasi di dunia nyata masih memiliki tingkat keberhasilan rendah karena memerlukan penyesuaian khusus terhadap model perangkat dan konfigurasi tampilan target.
Tindakan Pencegahan untuk Pengguna
- Hindari menginstal aplikasi dari luar Play Store.
- Periksa izin aplikasi secara berkala. Jika aplikasi tidak jelas fungsinya, hapus segera.
- Gunakan layar kunci dan autentikasi biometrik.
- Aktifkan pembaruan keamanan bulanan Android untuk memastikan mitigasi terbaru.
- Gunakan aplikasi MFA yang mendukung proteksi tambahan seperti tap-to-reveal atau prompt per otentikasi.
Sumber: BleepingComputer
