Onderzoekers presenteren methode om pixels van Android-telefoons uit te lezen

In dit artikel:

Onderzoekers uit de VS, onder meer van de University of California, hebben een proof of concept getoond van een nieuwe aanval op Android‑telefoons die zij "Pixnapping" noemen — een combinatie van het woord pixel en kidnapping. De methode meet hoe lang het scherm erover doet een pixel te renderen om zo de kleur van individuele pixels te achterhalen; door gerichte pixels van een weergegeven app te bemonsteren kan gevoelige informatie zoals cijfers van een tweefactorauthenticatiecode worden afgeleid. De aanval werkt in stappen: een kwaadaardige app gebruikt verborgen Android‑api’s om interessante apps te vinden en laat via intents die apps data tonen, terwijl de kwaadaardige app vervolgens zijn eigen schermlaag legt om ongemerkt te lezen. Omdat alleen enkele pixels per keer worden uitgelezen en het proces langzaam is, duurt het stelen van bijvoorbeeld een 2FA‑code vaak rond de 25 seconden en vereist het dat het slachtoffer de aanvallende app zelf opent en actief houdt — waardoor veel praktische beperkingen bestaan. Google bracht in september al een patch uit tegen een deel van de techniek en belooft de aanval in december volledig onhaalbaar te maken. Advies is om Android‑updates zo snel mogelijk te installeren en terughoudend te zijn met het installeren en actief houden van onbekende apps.