Serangan Pixnapping

 (pixnapping.com)
1 poin oleh GN⁺ 2025-10-17 | 1 komentar | Bagikan ke WhatsApp
  • Pixnapping adalah teknik serangan baru yang memungkinkan aplikasi Android berbahaya diam-diam mencuri informasi pribadi yang ditampilkan di aplikasi atau situs web lain
  • Serangan ini memanfaatkan side channel antara Android API dan perangkat keras GPU, dan memengaruhi sebagian besar perangkat terbaru dari produsen besar seperti Google dan Samsung
  • Semua informasi yang tampil di layar, seperti kode autentikasi, chat, dan email, dapat terekspos, dan serangan ini dapat dilakukan tanpa izin aplikasi
  • Di Google Authenticator, kode autentikasi dua faktor dapat dicuri dalam waktu kurang dari 30 detik
  • Baik Google maupun vendor GPU saat ini belum memiliki patch atau langkah mitigasi yang memadai untuk meredam serangan ini

Gambaran umum

  • Pixnapping adalah serangan yang memungkinkan aplikasi Android berbahaya mencuri informasi yang ditampilkan di aplikasi atau situs web lain tanpa sepengetahuan pengguna
  • Kebocoran informasi terjadi dengan menyalahgunakan side channel pada Android API dan GPU, dan sebagian besar ponsel Android terbaru termasuk perangkat Google dan Samsung terdampak
  • Aplikasi yang telah dikonfirmasi terdampak mencakup Gmail, Signal, Google Authenticator, Venmo, Google Maps, dan kode 2FA dari Google Authenticator juga dapat dicuri dalam waktu kurang dari 30 detik

Makalah penelitian dan demo

  • Akan dipublikasikan di ACM CCS 2025 melalui makalah berjudul “Pixnapping: Bringing Pixel Stealing out of the Stone Age”
  • Prinsip serangan dan detail teknisnya dapat diperiksa melalui versi preprint makalah tersebut

Tanya jawab utama

Perangkat apa yang terdampak

  • Telah dibuktikan pada Google Pixel 6, 7, 8, 9, Samsung Galaxy S25 yang menjalankan Android 13~16
  • Kemungkinan besar prinsip inti serangannya juga bekerja sama pada perangkat dari produsen lain

Syarat serangan

  • Semua aplikasi Android tanpa izin pun dapat menjalankan serangan ini
  • Serangan dapat dipicu tanpa deklarasi izin tambahan apa pun di file manifest aplikasi

Informasi apa yang bisa dicuri

  • Semua informasi yang ditampilkan di layar (chat, kode autentikasi, email, dll.) menjadi target serangan
  • Informasi internal yang tidak terlihat di layar tidak dapat dieksfiltrasi

Kasus penyalahgunaan nyata

  • Saat ini belum dikonfirmasi apakah sudah ada penyalahgunaan aktif di dunia nyata

Cara melindungi pengguna

  • Disarankan untuk segera memasang setiap patch keamanan Android baru begitu tersedia

Cara melindungi developer

  • Langkah pertahanan atau solusi bypass yang efektif saat ini belum diketahui
  • Jika memiliki insight terkait keamanan, peneliti meminta untuk dihubungi

Cara kerja serangan

  1. Aplikasi berbahaya memanggil aplikasi target (misalnya Google Authenticator) agar informasi sensitif dirender
  2. Pada layar aplikasi target, aplikasi memaksa penerapan operasi grafis (misalnya blur) pada piksel tertentu
  3. Dengan memanfaatkan side channel seperti GPU.zip, piksel pada langkah 2 diekstrak satu per satu
  • Langkah 2 dan 3 diulang untuk memulihkan seluruh piksel, lalu konten aslinya diekstrak menggunakan OCR
  • Efeknya mirip dengan mengambil screenshot layar yang sebenarnya tidak dapat diakses oleh aplikasi berbahaya

Android API yang dieksploitasi

  • Menggunakan window blur API untuk menerapkan pemrosesan grafis (blur) pada area piksel sensitif
  • Memanfaatkan callback VSync untuk mengukur waktu rendering dan menggunakannya dalam ekstraksi per piksel

Patch dan respons Google

  • Google merespons dengan membatasi jumlah aktivitas pemrosesan blur yang dapat dipanggil aplikasi, tetapi tak lama kemudian ditemukan workaround untuk mengakalinya
  • Workaround tersebut saat ini masih dalam status embargo dan belum dipublikasikan

Side channel di level perangkat keras

  • Informasi piksel diekstrak melalui side channel berbasis GPU bernama GPU.zip
  • Per Oktober 2025, belum ada rencana patch terpisah dari vendor GPU

Informasi identifikasi kerentanan (CVE)

  • Telah terdaftar secara resmi sebagai CVE-2025-48561

Apakah berdampak pada sistem operasi lain

  • Android menjadi target karena aplikasi dapat menerapkan operasi grafis pada data layar aplikasi lain dan mengukur side effect-nya
  • Kemungkinan penerapannya pada OS lain belum dikonfirmasi

Kerentanan tambahan App List Bypass

  • Ada juga kerentanan app list bypass yang memungkinkan identifikasi daftar aplikasi lain yang terpasang tanpa izin khusus atau deklarasi manifest
  • Ini dapat digunakan untuk profiling pengguna, dan berbeda dari metode bypass sebelumnya karena dapat bekerja tanpa deklarasi tambahan
  • Google menilainya sebagai “Infeasible” dan menutupnya tanpa tindakan lebih lanjut

Logo, source code, dan lisensi

Respons dan jadwal utama

  • Antara Februari hingga Oktober 2025, pengungkapan kerentanan dan permintaan penanganan dilakukan secara bertahap kepada Google dan Samsung
  • Google mengklasifikasikan tingkat risiko Pixnapping dan app list bypass sebagai High/Low, dan menyimpulkan beberapa patch masih kurang memadai atau tidak memungkinkan diperbaiki
  • Patch tambahan dijadwalkan dalam buletin keamanan Android bulan Desember 2025

Ringkasan

  • Pixnapping adalah serangan yang dapat membocorkan informasi penting dari layar nyata secara tidak sah dengan memanfaatkan kombinasi kelemahan pada struktur izin aplikasi dan perilaku perangkat keras
  • Keamanan perangkat lunak Android dan perangkat keras sama-sama masih memerlukan perbaikan struktural

Bacaan terkait

1 komentar

 
GN⁺ 2025-10-17
Komentar Hacker News

  • Menurut saya, masalah intinya adalah sistem perizinan Android secara default mengizinkan "berjalan di latar belakang" atau "akses internet" tanpa persetujuan pengguna; serangan seperti ini dimungkinkan karena semua aplikasi—bahkan game offline sekalipun—secara default punya izin seperti itu. Banyak aplikasi seharusnya hanya boleh mengakses internet "saat aplikasi digunakan", dan meskipun ini bukan perlindungan sempurna, karena selalu ada risiko tanpa sengaja menjalankan aplikasi berbahaya, hal ini bisa sangat menurunkan efektivitas serangan.

    • Saya penasaran apakah ada riset yang benar-benar bagus tentang tingkat risiko auto-update dibanding manual/tidak update, khususnya ingin tahu apakah ada studi yang membandingkan tingkat cacat di lingkungan yang setengah tersandbox seperti Android.

    • Sebenarnya izin akses internet memang ada, dan di GrapheneOS akses internet itu sendiri bisa ditolak untuk aplikasi yang mendeklarasikan izin tersebut.

    • Ada jawaban yang cukup meyakinkan soal mengapa aplikasi Android tidak meminta izin akses internet kepada pengguna, dan itu jawaban langsung dari tim pengembang Android sumber. Soal "berjalan di latar belakang", karena Android berbasis "intent", aplikasi bisa dibangunkan kapan saja, jadi opsi sederhana seperti "larang berjalan di latar belakang" mungkin tidak akan bekerja seperti yang diharapkan pengguna.

  • Bahkan setelah menonton videonya, saya masih merasa sulit memahami bagaimana serangan ini bekerja; saya bertanya-tanya apakah setelah berganti aplikasi tetap masih bisa mengakses piksel milik aplikasi autentikator.

  • Menanggapi pertanyaan tentang apa yang bisa dilakukan pengembang aplikasi untuk melindungi pengguna, memang dibilang belum ada mitigasi yang dipublikasikan, tapi saya rasa ada beberapa upaya dasar yang bisa dicoba, misalnya tidak menempatkan kode sandi pada posisi layar yang tetap, menyembunyikannya saat di latar belakang, terus menggerakkan kodenya, mengubah warna dan kontras, menampilkan noise statis, atau membuat hanya sebagian kode berkedip singkat alih-alih seluruhnya. Tentu metode seperti ini akan sedikit memengaruhi UX, tetapi secara teori bisa cukup menaikkan tingkat kesulitan bagi penyerang. Meski begitu, saya juga menyebutkan bahwa jika ada informasi rahasia yang sudah di-cache lewat screenshot, maka pendekatan ini punya keterbatasan.

    • Saya ingat Google Authenticator pernah diubah agar kode TOTP baru muncul setelah disentuh. Waktu itu saya menganggap itu tidak benar-benar menghentikan ancaman nyata dan hanya merepotkan, dan banyak orang setuju, jadi fitur itu diam-diam di-rollback tak lama kemudian. Saya jadi penasaran apakah itu mitigasi awal untuk celah ini.

    • Memperkenalkan demo unscreenshottable.vercel.app.

  • Ditekankan bahwa agar serangan ini benar-benar praktis terhadap TOTP, font dan posisi piksel harus diketahui dengan sempurna. Menurut makalahnya, mencuri area layar yang sensitif butuh waktu lama, dan misalnya kode 2FA pada dasarnya diperbarui setiap 30 detik sehingga ada batas waktu yang ketat. Jika penyerang gagal mengekfiltrasi keenam digit dalam 30 detik, nilainya akan hilang. Namun, jika font-nya diketahui penyerang, beberapa piksel saja bisa cukup untuk membedakannya.

    • Karena aplikasi autentikator yang dipakai luas cuma beberapa saja (Google, Microsoft Authenticator, Okta, dll.), saya rasa ini bukan hambatan besar dalam praktik.

  • Ini memang teknik yang sudah ada sejak lama, tetapi sangat efektif untuk menyerang target secara presisi. Kalau Anda bisa memasang aplikasi tertentu di ponsel pengguna, tanpa trik serumit ini pun Anda sering kali bisa langsung mengakses informasi yang diinginkan dari aplikasi itu sendiri. Misalnya, jika aplikasi seperti Facebook menampilkan pemberitahuan privasi seperti "aplikasi ini secara berkala mengambil tangkapan layar", jumlah orang yang akan tetap mengizinkannya mungkin mengejutkan. Kode sumber Pixnapping katanya akan dipublikasikan di sini setelah patch tersedia, tetapi sejujurnya saya rasa reverse engineering-nya juga tidak akan terlalu sulit. Mereka memang bisa saja menunggu sampai semuanya dipatch, tetapi tampaknya para peneliti ingin cepat menarik perhatian.

    • Sebenarnya patch untuk kerentanannya sudah dipublikasikan; bahkan pesan pada commit terkait secara eksplisit menyebutkan "mencegah pencurian piksel dengan mengukur waktu blur antar-jendela". Alasan para peneliti belum merilis kodenya adalah karena mereka menemukan cara untuk melewati patch tersebut. Selain itu juga disebutkan bahwa "tidak ada vendor GPU yang berjanji akan menambal GPU.zip" dan "Google juga tidak berniat menambal kerentanan bypass daftar aplikasi" ("ditutup sebagai tidak akan diperbaiki"). Melihat tanggal pelaporan awalnya adalah 24 Februari 2025, rasanya sulit mengatakan para peneliti bertindak tergesa-gesa. Dan meskipun ada notifikasi seperti "aplikasi ini secara berkala mengambil tangkapan layar", layar yang secara eksplisit ditandai tidak bisa di-screenshot tetap tidak bisa ditangkap tanpa eksploit terpisah.

    • Tanggal pelaporan pertama ke Google adalah 24 Februari 2025; mereka sudah diberi cukup waktu.

  • Diakui bahwa serangan ini adalah teknik cerdas yang memanfaatkan waktu rendering sebagai side channel. Disebutkan juga bahwa bahkan untuk Google Authenticator, mengumpulkan seluruh piksel akan memakan waktu cukup lama. Yang justru lebih saya khawatirkan adalah seberapa jauh metode seperti ini bisa diterapkan untuk mencuri OTP dari pesan teks. Dengan makin banyak email phishing yang polanya tetap, seperti email notifikasi GitHub, saya bahkan sudah berhenti mengeklik tautan di email sama sekali. Sekarang saya juga merasa sebaiknya menghindari membuka aplikasi melalui saran intent, lebih baik buka aplikasinya langsung dan hapus aplikasi yang tidak berguna. Menurut saya permukaan serangan juga bisa meluas melalui SDK atau intent dari halaman web, dan ini sering diremehkan.

  • Saya sempat mengira dari judulnya ini game web browser.

  • Saya bukan ahli keamanan, tetapi saya rasa jika Anda memasang aplikasi di desktop Windows, serangan bisa dilakukan jauh lebih cepat dan diam-diam dibanding pixnapping di Android. Jika kata sandi yang sama dipakai di banyak situs, salah satunya bisa mencurinya dan masuk ke tempat lain juga (jika tidak ada lapisan keamanan tambahan). Secara teoretis ini memang lemah dari sisi keamanan, tetapi di dunia nyata serangan seperti ini tidak selalu umum atau mudah dieksekusi.

    • Di desktop tidak ada sandboxing, sedangkan di mobile ada, sehingga keluar dari sandbox pada dasarnya sudah berarti kompromi keamanan. Selain itu, di desktop orang biasanya tidak memasang satu per satu aplikasi fast food, sementara di mobile orang cenderung sembarangan memasang aplikasi.

  • Membagikan tautan diskusi sebelumnya.

    • Di diskusi sebelumnya banyak yang menanggapi bahwa karena patch sudah keluar, tidak perlu khawatir, tetapi dalam kasus kali ini dikatakan bahwa patch tersebut tidak bekerja sepenuhnya.

  • Saya merasa perangkat modern sudah terlalu kompleks sehingga keamanan sempurna jadi mustahil. Sepertinya ini terjadi karena fitur-fitur yang sebenarnya tidak perlu terus ditambahkan tanpa henti. Saya percaya ke depan akan ada permintaan yang makin besar untuk OS berfokus keamanan dengan fitur seminimal mungkin seperti FreeBSD.

    • Saya ingin lingkungan tempat saya bisa menjalankan make world dari terminal bahkan saat sedang bepergian.

    • Ada Precursor buatan Bunnie, dan meskipun keren, saya merasa harganya terlalu mahal. Jika kalkulator seharga $100 saja terasa mahal, maka Precursor bentuknya mirip, kemampuan komputasinya juga mirip, tetapi harganya $1000 dan bahkan tidak bisa dipakai untuk ujian matematika. Blog resmi Precursor (saat ini tidak bisa diakses, mungkin akan terbuka lagi nanti).

    • Setelah bertahun-tahun membaca komentar HN, saya merasa pengetahuan dan praktik keamanan justru merosot tajam. Dengan meluasnya AI generatif, saya kira keadaannya akan makin buruk. Belakangan ini juga banyak orang membicarakan proyek ponsel FSF sambil mengeluh bahwa penggunaan aplikasi mobile banking itu merepotkan. Ada juga yang bilang memasukkan kata sandi setiap 30 menit di desktop itu menyusahkan, dan banyak keluhan seperti "apa harus bawa dua ponsel?". Menurut saya, kalau pencuri ponsel sudah melihat Anda memasukkan kata sandi, dia akan langsung membuka aplikasi bank, aplikasi uang, dan mengambil data sebanyak mungkin. Kejahatan seperti ini benar-benar terjadi setiap hari. Lebih baik aplikasi seperti itu sama sekali tidak dipasang di ponsel atau tidak dibiarkan tetap login; hal yang sama berlaku untuk aplikasi 2FA. Itu sama saja seperti menenteng koper perjalanan bermerek mahal dan memperlihatkan diri sebagai target. Jika Anda bukan CEO atau target serangan tingkat negara, Anda justru harus lebih berhati-hati. Bahkan perangkat dengan "OS keamanan minimal" pun pada dasarnya tetap punya masalah saat dirampas secara fisik (seseorang melihat kata sandi lalu mencuri perangkat), tetapi ponsel yang dipakai di bar untuk game dan aplikasi iklan harus dipisahkan secara ketat dari ponsel yang dipakai untuk perbankan, 2FA, dan pekerjaan.