Den nye Android trusselen: Hackere kan stjele 2FA koder på under 30 sekunder

1. Et angrep ingen så komme

Forskere har oppdaget et nytt og effektivt hackerangrep kalt Pixnapping, som kan stjele tofaktor-koder, meldinger og annen sensitiv data direkte fra Android-telefoners skjermer. Angrepet kan gjennomføres på under 30 sekunder og krever ingen systemtillatelser fra brukeren. Det er demonstrert på Google Pixel-telefoner og Samsung Galaxy S25.

2. Hvordan angrepet fungerer

Pixnapping utnytter en grafisk sidekanal i telefonens GPU. Ved å måle hvor lang tid det tar å gjengi individuelle piksler, kan en ondsinnet app avgjøre hvilke tegn eller figurer som vises. Metoden lar angriperen gjenskape skjermens innhold piksel for piksel – som et usynlig skjermbilde.

3. Den skjulte appen i systemet

Angrepet starter med at offeret installerer en tilsynelatende harmløs app som ikke ber om mistenkelige tillatelser. Appen kan via Android-API-er få andre apper til å vise spesifikt innhold (for eksempel en 2FA-kode), og dermed sende piksler til gjengivelsesprosessen som Pixnapping deretter måler og leser av.

4. Tre trinn til full datatyveri

Forskerne beskriver tre trinn: (1) Den skadelige appen får målappen til å vise data. (2) Den tegner grafiske operasjoner ved bestemte koordinater for å skape en målbar sidekanal. (3) Den måler gjengivelsestidene og rekonstruerer innholdet. Kombinasjonen gjør det mulig å hente ut koder, meldinger eller annen synlig informasjon uten filtilgang.

5. Arven fra GPU.zip

Pixnapping minner om angrepet GPU.zip fra 2023, hvor en nettleserbasert sidekanal kunne lese brukernavn og annen informasjon via GPU-en. Disse sårbarhetene ble aldri løst i maskinvaren, bare delvis blokkert i nettleserne. Pixnapping viser at den samme typen angrep nå rammer mobile enheter.

6. Googles oppdateringer og begrensninger

Google utga en delvis oppdatering i september (CVE-2025-48561) og planla ytterligere rettelser i desember. Forskerne demonstrerte imidlertid at en modifisert versjon av angrepet fortsatt fungerer på oppdaterte Pixel-enheter. Google har ikke sett tegn til faktisk misbruk i naturen på dette tidspunktet.

7. Effektivitet i laboratoriet

I tester klarte forskerne å rekonstruere komplette seks-sifrede 2FA-koder i opptil 73 % av tilfellene på Pixel 6 og rundt 50 % på nyere Pixel-modeller. Gjennomsnittlig tid per angrep var mellom 14 og 26 sekunder, raskt nok til å fange en gyldig kode før den utløper. På Galaxy S25 mislyktes forsøket grunnet grafisk støy.

8. Konsekvenser for mobil­sikkerhet

Pixnapping avslører en grunnleggende sikkerhetsutfordring i Androids arkitektur: grafiske operasjoner kan skape målbare sidekanaler. Selv om masseangrep er lite sannsynlig, betyr det at antakelsen om full isolasjon mellom apper må revurderes. Det krever både maskinvareendringer, systemoppdateringer og strengere app-gjennomgang.