Perangkat Android adalah rentan terhadap serangan baru yang secara diam-diam dapat mencuri kode autentikasi dua faktor, garis waktu lokasi, dan data pribadi lainnya dalam waktu kurang dari 30 detik.

Serangan baru ini, yang diberi nama Pixnapping oleh tim peneliti akademis yang merancangnya, mengharuskan korban untuk menginstal aplikasi berbahaya terlebih dahulu di ponsel atau tablet Android. Aplikasi tersebut, yang tidak memerlukan izin sistem, kemudian dapat secara efektif membaca data yang ditampilkan oleh aplikasi terinstal lainnya di layar. Pixnapping telah didemonstrasikan pada ponsel Google Pixel dan ponsel Samsung Galaxy S25 dan kemungkinan besar dapat dimodifikasi agar berfungsi pada model lain dengan pekerjaan tambahan. Google merilis mitigasi bulan lalu, namun para peneliti mengatakan versi serangan yang dimodifikasi tetap berfungsi bahkan ketika pembaruan diinstal.

Seperti Mengambil Tangkapan Layar

Serangan Pixnapping dimulai dengan aplikasi berbahaya yang menggunakan antarmuka pemrograman Android yang menyebabkan autentikator atau aplikasi target lainnya mengirimkan informasi sensitif ke layar perangkat. Aplikasi jahat kemudian menjalankan operasi grafis pada piksel individual yang menarik bagi penyerang. Pixnapping kemudian mengeksploitasi a saluran samping yang memungkinkan aplikasi jahat memetakan piksel pada koordinat tersebut ke huruf, angka, atau bentuk.

“Apa pun yang terlihat saat aplikasi target dibuka dapat dicuri oleh aplikasi jahat menggunakan Pixnapping,” tulis para peneliti di sebuah situs web informasi. “Pesan obrolan, kode 2FA, pesan email, dll. semuanya rentan karena terlihat. Jika suatu aplikasi memiliki informasi rahasia yang tidak terlihat (misalnya, aplikasi tersebut memiliki kunci rahasia yang disimpan tetapi tidak pernah ditampilkan di layar), informasi tersebut tidak dapat dicuri oleh Pixnapping.”

Kelas serangan baru mengingatkan kita pada GPU.zipserangan tahun 2023 yang memungkinkan situs web jahat membaca nama pengguna, kata sandi, dan data visual sensitif lainnya yang ditampilkan oleh situs web lain. Ini bekerja dengan memanfaatkan saluran sampingan yang ditemukan di GPU dari semua pemasok besar. Kerentanan yang dieksploitasi GPU.zip tidak pernah diperbaiki. Sebaliknya, serangan tersebut diblokir di browser dengan membatasi kemampuannya untuk membuka iframe, sebuah elemen HTML yang memungkinkan satu situs web (dalam kasus GPU.zip, yang berbahaya) untuk menyematkan konten situs dari domain berbeda.

Pixnapping menargetkan saluran samping yang sama dengan GPU.zip, khususnya jumlah waktu tepat yang diperlukan untuk menampilkan bingkai tertentu di layar.

“Hal ini memungkinkan aplikasi jahat mencuri informasi sensitif yang ditampilkan oleh aplikasi lain atau situs web sewenang-wenang, piksel demi piksel,” Alan Linghao Wang, penulis utama makalah penelitian “Pixnapping: Membawa Pencurian Piksel dari Zaman Batujelas dalam sebuah wawancara. “Secara konseptual, aplikasi jahat ini seolah-olah mengambil tangkapan layar dari konten layar yang seharusnya tidak dapat diaksesnya. Serangan end-to-end kami hanya mengukur waktu rendering per frame dari operasi grafis untuk menentukan apakah pikselnya berwarna putih atau bukan putih.”

Pixnapping dalam 3 Langkah

Serangan itu terjadi dalam tiga langkah utama. Yang pertama, aplikasi berbahaya memanggil API Android yang melakukan panggilan ke aplikasi yang ingin diintip oleh penyerang. Panggilan ini juga dapat digunakan untuk secara efektif memindai perangkat yang terinfeksi untuk mencari aplikasi yang diinstal yang diinginkan. Panggilan tersebut selanjutnya dapat menyebabkan aplikasi yang ditargetkan menampilkan data spesifik yang dapat diaksesnya, seperti rangkaian pesan di aplikasi perpesanan atau kode 2FA untuk situs tertentu. Panggilan ini menyebabkan informasi dikirim ke pipeline rendering Android, yaitu sistem yang mengambil piksel setiap aplikasi agar dapat dirender di layar. Panggilan khusus Android yang dilakukan meliputi kegiatan, maksudDan tugas.

Pada langkah kedua, Pixnapping melakukan operasi grafis pada piksel individual yang dikirim oleh aplikasi target ke pipeline rendering. Operasi ini memilih koordinat piksel target yang ingin dicuri aplikasi dan mulai memeriksa apakah warna koordinat tersebut putih atau bukan putih atau, lebih umum, apakah warnanya c atau non-c (untuk warna sembarang c).