Teknik ini ditemukan oleh tim peneliti akademis yang berhasil mendemonstrasikannya di sejumlah perangkat, termasuk Google Pixel dan Samsung Galaxy S25.
Menariknya, serangan ini tidak membutuhkan izin sistem apa pun dari pengguna. Aplikasi jahat hanya perlu diinstal di perangkat korban untuk bisa membaca data visual yang ditampilkan oleh aplikasi lain di layar.
Google memang telah merilis mitigasi awal pada pembaruan keamanan September, namun tim peneliti menyebut versi serangan yang dimodifikasi tetap dapat bekerja meskipun pembaruan itu sudah terpasang.
Cara Kerja Serangan Pixnapping
Secara konsep, Pixnapping bekerja seperti mengambil tangkapan layar secara tersembunyi. Aplikasi jahat memanfaatkan API Android untuk memicu aplikasi target, seperti Google Authenticator, agar menampilkan informasi sensitif di layar. Setelah itu, aplikasi jahat menjalankan operasi grafis di area piksel tertentu untuk mendeteksi warna atau perubahan kecil yang terjadi.Proses ini memanfaatkan side channel pada sistem rendering GPU. Dengan mengukur waktu yang dibutuhkan setiap frame untuk dirender, penyerang dapat menebak apakah piksel tersebut berwarna putih atau bukan, lalu menyusunnya menjadi gambar atau teks yang ditampilkan oleh aplikasi target.
Dengan metode ini, hacker dapat “memetik” kode 2FA atau pesan pribadi tanpa harus menembus sistem keamanan utama perangkat.
“Konsepnya seperti aplikasi jahat mengambil screenshot dari layar lain yang seharusnya tidak bisa diakses. Kami hanya mengukur waktu rendering per frame untuk mengetahui warna tiap piksel,” tutur salah satu peneliti, Alan Linghao Wang.
Tingkat Keberhasilan dan Respons Google
Dalam pengujian, para peneliti berhasil mencuri 100 kode 2FA dari aplikasi Google Authenticator di berbagai seri Pixel.Hasilnya, tingkat keberhasilan mencapai 73% pada Pixel 6, 53% pada Pixel 7, 29% pada Pixel 8, dan 53% pada Pixel 9, dengan rata-rata waktu pencurian antara 14 hingga 25 detik per kode. Pada Galaxy S25, serangan belum berhasil karena tingkat gangguan sinyal (noise) yang tinggi.
Google mengonfirmasi telah menambal sebagian celah ini melalui CVE-2025-48561, namun patch tambahan baru akan hadir pada pembaruan Desember 2025. Google menegaskan belum ada bukti serangan Pixnapping digunakan secara nyata (in the wild).
Anjuran Keamanan untuk Pengguna Android
Peneliti menyarankan pengguna Android untuk berhati-hati terhadap aplikasi yang meminta izin display over other apps atau overlay. Selain itu, hindari instalasi aplikasi dari sumber tidak resmi dan perbarui sistem keamanan Android secara berkala.Pixnapping menunjukkan bahwa bahkan sistem yang mengklaim isolasi aplikasi yang kuat masih memiliki celah di level visual. Ancaman ini menjadi peringatan penting bagi pengguna maupun pengembang untuk memperkuat privasi visual di ekosistem Android.
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
