Hackers kunnen in nog geen 30 seconden 2FA-codes stelen van je Android-telefoon
Pixsnapping is de term die de onderzoekers hebben gegeven aan het ontcijferen van informatie uit specifieke pixels. Zoals gezegd begint dit bij de installatie van een malafide app, maar vereist het vervolgens geen systeemtoegang. Alle acties worden namelijk uitgevoerd met rechten waar een Android-app standaard over beschikt.
En dat zijn er nogal wat. De malafide Android-app kan via de aanval precies zien wat andere apps op het scherm tonen, maar kan met ‘Android-programmeerinterfaces’ zelfs specifieke applicaties openen en ervoor zorgen dat ze gevoelige informatie weergeven. Informatie die de onderzoekers vervolgens konden ontcijferen door grafische bewerkingen uit te voeren op specifieke pixels, waarbij Pixsnapping pixels kan toewijzen aan cijfers, letters of vormen.
Dit stelt hackers in staat om met Pixsnapping alle zichtbare informatie uit target-apps te stelen. Dat kan gaan om 2FA-codes uit authenticatie-apps, maar ook om WhatsApp-berichten, sms’jes en e-mails. Niet-zichtbare informatie, zoals wachtwoorden in een wachtwoordkluis, is dan weer niet toegankelijk voor Pixsnapping: de informatie moet namelijk rechtstreeks op het scherm worden getoond. Hackers kunnen geen verdere acties uitvoeren om dat te bewerkstelligen.
Kwetsbaarheid in GPU-drivers
Komt de aanval je bekend voor? Dat klopt: het gaat om een soortgelijke aanval als met GPU.zip, een kwetsbaarheid die in 2023 werd ontdekt. Ook toen konden aanvallers pixels ontcijferen om gevoelige informatie uit te lezen. Die kwetsbaarheid trof toen GPU’s van vrijwel alle chipfabrikanten. Twee jaar later duikt eenzelfde aanval op die bovendien gebruikmaakt van hetzelfde ‘zijkanaal’ om informatie uit te lezen.
Pixsnapping analyseert voor zijn aanval namelijk hoeveel tijd het exact kost om een frame op het scherm te tonen. Aan de hand van die analyse kunnen hackers bepalen of een pixel wit of niet-wit is, en dus of er informatie in is opgeslagen. Het is alsof de hackers constant screenshots maken van je scherm en zo binnen luttele seconden weten wat er op je scherm staat.
Nog geen 30 seconden
Wat deze aanval mede zo ernstig maakt, is de snelheid waarmee aanvallers hem kunnen uitbuiten. De aanvallers zijn er al in geslaagd om in nog geen 15 seconden een 2FA-code te stelen uit Google Authenticator op de Pixel 6. Bij nieuwere Pixel-toestellen duurde dit iets langer, met een uitschieter van 25,3 seconden op de Pixel 9. Toch lukte het steeds om de 2FA-code te stelen binnen de vervaltermijn van 30 seconden.
De onderzoekers probeerden dezelfde resultaten te behalen op de Samsung Galaxy S25, maar dat is niet gelukt. Er was te veel ruis zichtbaar om de code binnen 30 seconden af te lezen. Maar ook dat toestel is kwetsbaar voor Pixsnapping, zij het dus niet voor de razendsnelle aanvallen.
Google: kwetsbaarheid opgelost
Volgens Google is het probleem intussen opgelost. Althans, in de beveiligingspatches van september 2025 zou een oplossing zijn opgenomen voor de kwetsbaarheid (CVE-2025-48561). De onderzoekers stellen echter dat de oplossing onvoldoende is: met een aangepaste versie van de aanval kon de kwetsbaarheid alsnog worden uitgebuit.
In december brengt Google opnieuw een patch uit voor dit probleem. Dat die even op zich laat wachten, heeft te maken met Googles nieuwe beleid voor beveiligingsupdates: die worden sinds september eens in de drie maanden uitgebracht in plaats van iedere maand.
