Seorang pembaca anonim mengutip laporan dari The Register: Peneliti keamanan telah menghidupkan kembali serangan pencurian data yang sudah berlangsung selama 12 tahun di browser web untuk mencuri informasi sensitif dari perangkat Android. Serangan yang dijuluki Pixnapping ini masih belum dapat diatasi. Secara konseptual, ini setara dengan aplikasi Android berbahaya yang mampu mengambil tangkapan layar aplikasi atau situs web lain. Hal ini memungkinkan aplikasi Android berbahaya mengakses dan membocorkan informasi yang ditampilkan di aplikasi Android lain atau di situs web. Misalnya, mencuri data yang ditampilkan di aplikasi seperti Google Maps, Signal, dan Venmo, serta dari situs web seperti Gmail (mail.google.com). Ia bahkan dapat mencuri kode 2FA dari Google Authenticator. “Pertama, aplikasi jahat membuka aplikasi target (misalnya Google Authenticator), mengirimkan pikselnya untuk dirender,” jelasnya [Alan Wang, a PhD candidate at UC Berkeley]. “Kedua, aplikasi jahat mengambil koordinat piksel target yang warnanya ingin dicuri. Misalnya saja ia ingin mencuri piksel yang merupakan bagian dari wilayah layar di mana karakter 2FA diketahui dirender oleh Google Authenticator, dan piksel ini berwarna putih (jika tidak ada yang dirender di sana) atau non-putih (jika bagian dari digit 2FA dirender di sana). Ketiga, aplikasi jahat menyebabkan beberapa operasi grafis yang waktu renderingnya lama jika piksel targetnya bukan putih dan pendek jika pikselnya putih. Aplikasi jahat melakukan ini dengan membuka beberapa aktivitas jahat (yaitu windows) di depan aplikasi target. Terakhir, aplikasi jahat mengukur waktu rendering per frame dari operasi grafis di atas untuk menentukan apakah piksel target berwarna putih atau non-putih. Beberapa langkah terakhir ini diulangi sebanyak piksel yang diperlukan untuk menjalankan OCR pada piksel yang dipulihkan dan menebak piksel aslinya isi.” Para peneliti telah mendemonstrasikan Pixnapping pada lima perangkat yang menjalankan Android versi 13 hingga 16 (hingga build id BP3A.250905.014): Google Pixel 6, Google Pixel 7, Google Pixel 8, Google Pixel 9, dan Samsung Galaxy S25. Android 16 adalah versi sistem operasi terbaru. Perangkat Android lain belum diuji, namun mekanisme yang memungkinkan serangan bekerja biasanya tersedia. Aplikasi Android berbahaya yang mengimplementasikan Pixnapping tidak memerlukan izin khusus apa pun dalam file manifesnya, kata penulisnya. Para peneliti merinci serangan tersebut dalam sebuah makalah (PDF) berjudul “Pixnapping: Membawa Pencurian Piksel dari Zaman Batu.”
Baca lebih lanjut cerita ini di Slashdot.
