Pixnapping: Android-Schwachstelle klaut Daten vom Bildschirm
14.10.2025 - 14:31:01Eine neue Android-Schwachstelle ermöglicht den Diebstahl sensibler Daten direkt vom Bildschirm. Google plant einen umfassenden Patch für Dezember 2025 nach teilweisen September-Fixes.
Sicherheitslücke ermöglicht Diebstahl von 2FA-Codes und Nachrichten. Google kündigt umfassenden Patch für Dezember an.
Eine neue Klasse von Android-Sicherheitslücken namens „Pixnapping“ versetzt Cyberkriminelle in die Lage, sensible Daten direkt vom Bildschirm zu stehlen – ohne besondere Berechtigungen. Betroffen sind Zwei-Faktor-Authentifizierung-Codes, private Nachrichten und Finanzinformationen. Forscher demonstrierten die Wirksamkeit des Angriffs auf aktuellen Android-Geräten, woraufhin Google erste Patches veröffentlichte und weitere Sicherheitsmaßnahmen ankündigte.
Die Attacke nutzt eine raffinierte Schwachstelle im Umgang mit der Grafikverarbeitung. Ein bösartiges App kann Bildschirminhalte anderer Anwendungen rekonstruieren – Pixel für Pixel. Besonders brisant: Der Angriff funktioniert sogar bei Apps mit Screenshot-Schutz und kann 2FA-Codes in unter 30 Sekunden auslesen.
Google bestätigte bereits im Februar 2025 die hohe Bedrohung durch diese Sicherheitslücke. Ein erster Patch erschien im September, doch Forscher umgingen diesen bereits. Der vollständige Schutz soll mit dem Dezember-Update 2025 kommen.
Anzeige: Bis der Dezember-Patch alle Lücken schließt, sollten Android-Nutzer ihr Gerät zusätzlich absichern. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen – mit verständlichen Schritt-für-Schritt-Anleitungen für WhatsApp, Online-Banking & Co., ganz ohne teure Zusatz-Apps. Jetzt das kostenlose Android-Sicherheitspaket sichern
Pixel-perfekter Datendiebstahl
Die als CVE-2025-48561 katalogisierte Schwachstelle basiert auf einem cleveren Seitenkanalangriff über die Grafikkarte. US-Forscher zeigten, wie schädliche Apps sensible Pixel in die Rendering-Pipeline einschleusen können. Durch das Überlagern halbtransparenter Bildschirme und das Messen der GPU-Verarbeitungszeiten lassen sich Pixelfarben ermitteln.
Diese Timing-Unterschiede verraten die Farbe einzelner Bildpunkte – genug, um langsam aber effektiv sensible Informationen zu rekonstruieren. Was früher als Web-Angriff vor zwölf Jahren bekannt war, funktioniert nun auf modernen Smartphones.
Die Attacke wurde erfolgreich auf Google Pixel und Samsung Galaxy-Geräten getestet, die Android-Versionen 13 bis 16 nutzen. Forscher warnen: Die Grundmechanismen dürften in allen modernen Android-Geräten vorhanden sein. Besonders tückisch: Das bösartige App muss nur geöffnet sein, der Datendiebstahl läuft im Hintergrund ab.
Googles Patch-Strategie im Oktober-Bulletin
Google räumt die hohe Bedrohung durch Pixnapping ein. Ein Unternehmenssprecher bestätigte, dass eine erste Schadensbegrenzung bereits im September-Sicherheitsbulletin enthalten war. Da Forscher jedoch Umgehungswege fanden, plant Google einen umfassenderen Patch für Dezember 2025.
Bislang gibt es keine Hinweise auf aktive Ausnutzung der Schwachstelle. Googles Play Protect hat noch keine schädlichen Apps mit dieser Technik entdeckt.
Parallel veröffentlichte Google das Android-Sicherheitsbulletin für Oktober 2025 mit zahlreichen weiteren Fixes. Das Bulletin umfasst zwei Patch-Level: 2025-10-01 und 2025-10-05. Der umfassendere Level 2025-10-05 behebt Schwachstellen in Android-Framework, System und Herstellerkomponenten. Samsung adressierte in seinem Oktober-Update 14 Android-Schwachstellen und 20 Samsung-spezifische Probleme.
Neue Transparenz-Debatte bei Sicherheitspatches
Die Pixnapping-Enthüllung fällt in eine Zeit verschärfter Sicherheitsdiskussionen. Google änderte kürzlich seine Offenlegungspolitik für Schwachstellen: Hardware-Partner erhalten Patch-Details nun bis zu drei Monate unter Geheimhaltungsvereinbarung, bevor der Quellcode öffentlich wird.
Während Google damit Angreifern die Exploit-Entwicklung erschweren will, kritisieren unabhängige Sicherheitsforscher und Custom-ROM-Entwickler den Transparenzverlust. Sie befürchten Verzögerungen beim Schutz ihrer Plattformen.
Ausblick: Warten auf den Dezember-Patch
Alle Augen richten sich nun auf Googles versprochenes Dezember-Update 2025 mit der finalen Pixnapping-Lösung. Bis dahin bietet der September-Patch immerhin teilweisen Schutz.
Für Android-Nutzer gilt weiterhin: Vorsicht bei App-Installationen und sofortige Installation von Sicherheitspatches. Das Oktober-Bulletin schützt bereits vor einer Vielzahl dokumentierter Bedrohungen – während die finale Pixnapping-Lösung noch aussteht.
Der Fall verdeutlicht das anhaltende Katz-und-Maus-Spiel zwischen Plattform-Entwicklern und Angreifern. Da Smartphones zunehmend sensible Daten verarbeiten, steigen die Einsätze in diesem Sicherheitskampf kontinuierlich.
