Den nye Android trussel: Hackere kan stjæle 2FA-koder på under 30 sekunder

1. Et angreb ingen så komme

Forskere har opdaget et nyt og effektivt hackerangreb, kaldet Pixnapping, der kan stjæle to-faktor-koder, beskeder og andre data direkte fra Android-telefoners skærme. Angrebet kan udføres på under 30 sekunder og kræver ingen systemtilladelser fra brugeren. Det er blevet demonstreret på Google Pixel-telefoner og Samsung Galaxy S25.

2. Hvordan angrebet virker

Pixnapping udnytter en grafisk sidekanal i telefonens GPU: ved at måle rendringstiden for individuelle pixels kan en ondsindet app afgøre, hvilke tegn eller figurer der vises. Metoden lader angriberen genskabe skærmens indhold pixel for pixel – som et usynligt screenshot.

3. Den skjulte app i systemet

Angrebet begynder med, at offeret installerer en tilsyneladende harmløs app, som ikke anmoder om mistænkelige tilladelser. Appen kan via Android-API’er få andre apps til at vise specifikt indhold (fx en 2FA-kode) og dermed sende pixels til rendering-pipelinen, hvor Pixnapping måler og aflæser dem.

4. Tre trin til fuldt datatyveri

Forskernes model beskriver tre trin: (1) Den skadelige app får måldata vist af målappen. (2) Den tegner grafiske operationer ved bestemte koordinater for at skabe en målbar sidekanal. (3) Den måler rendringstider og rekonstruerer indholdet. Kombinationen gør det muligt at ekstrahere kode, beskeder eller anden synlig information uden adgang til filsystemet.

5. Genklang fra GPU.zip

Pixnapping minder om GPU.zip fra 2023, hvor en browser-baseret sidekanal kunne udlæse brugernavne og andre oplysninger via GPU’en. De sårbarheder blev dengang ikke fjernet i hardwaren, men delvist blokeret i browserne; Pixnapping viser, at samme klasse af angreb nu kan målrettes mobile enheder.

6. Googles opdateringer og begrænsninger

Google udsendte en delvis afbødende opdatering i september (CVE-2025-48561) og planlagde yderligere rettelser i december. Forskerne demonstrerede dog, at en modificeret udgave af angrebet stadig kan virke på opdaterede Pixel-enheder. Google rapporterede ingen kendt udnyttelse i naturen på tidspunktet for deres meddelelse.

7. Effektivitet i laboratoriet

I forsøg genskabte forskerne komplette sekscifrede 2FA-koder i op til 73 % af tilfældene på Pixel 6 og omkring 50 % på nyere Pixel-modeller. Gennemsnitstiden pr. angreb varierede mellem cirka 14 og 26 sekunder, hvilket gør det muligt at få en gyldig kode før udløbstid. På Galaxy S25 lykkedes angrebet ikke i deres implementering på grund af grafisk støj.

8. Konsekvenser for mobil­sikkerhed

Pixnapping afslører en grundlæggende sikkerhedsudfordring i Android-arkitekturen: at grafiske operationer kan skabe målbare sidekanaler. Selv om masseudnyttelse i praksis vil være vanskelig, betyder angrebet, at antagelsen om fuld isolering mellem apps må genovervejes. Det stiller krav til både hardwareskift, OS‑rettelser og strengere app‑gennemgang.