{"id":32932,"date":"2025-11-27T12:22:00","date_gmt":"2025-11-27T10:22:00","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32932"},"modified":"2025-11-27T12:22:00","modified_gmt":"2025-11-27T10:22:00","slug":"pixnapping-cve-2025-48561","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/pixnapping-cve-2025-48561\/32932\/","title":{"rendered":"Pixnapping-Schwachstelle: Erzwungene Screenshots auf Android-Smartphones"},"content":{"rendered":"

Die Beschr\u00e4nkungen f\u00fcr Apps werden von Android st\u00e4ndig versch\u00e4rft. Dies soll Schadsoftware daran hindern, Geld, Passw\u00f6rter und sensible Benutzergeheimnisse zu stehlen. Die neue Schwachstelle Pixnapping<\/a> umgeht jedoch s\u00e4mtliche Android-Schutzschichten und erm\u00f6glicht es einem Angreifer, unbemerkt Pixel vom Bildschirm zu lesen oder anders gesagt: einen Screenshot zu erstellen. Eine b\u00f6sartige App ohne jegliche Berechtigungen kann Passw\u00f6rter, Kontost\u00e4nde, Einmalcodes und einfach alles sehen, was der Nutzer auf dem Bildschirm sieht. Gl\u00fccklicherweise ist Pixnapping derzeit ein reines Forschungsprojekt, und es wurde noch nicht aktiv von Angreifern ausgenutzt. Bleibt zu hoffen, dass Google die Schwachstelle gr\u00fcndlich schlie\u00dft, bevor der b\u00f6sartige Ccode in echte Malware einflie\u00dft. Derzeit betrifft die Pixnapping-Schwachstelle (CVE-2025-48561<\/a>) wahrscheinlich alle modernen Android-Smartphones\u00a0\u2013 auch die neuesten Android-Versionen sind keine Ausnahme.<\/p>\n

Warum Screenshots, \u00dcbertragungen und Vorlesefunktion gef\u00e4hrlich sind<\/h2>\n

Der von uns entdeckte OCR-Stealer SparkCat<\/a> hat gezeigt, dass Angreifer die Bildverarbeitung bereits beherrschen. Malware kann erkennen, wenn ein Bild auf einem Smartphone wertvolle Informationen enth\u00e4lt, kann direkt auf dem Smartphone eine optische Zeichenerkennung durchf\u00fchren und die extrahierten Daten dann auf den Server des Angreifers \u00fcbertragen. SparkCat ist besonders bemerkenswert, da es diesem Sch\u00e4dling gelungen ist, offizielle App-Stores (einschlie\u00dflich App Store) zu infiltrieren. Eine b\u00f6sartige App, die Pixnapping beherrscht, k\u00f6nnte diesen Trick problemlos wiederholen\u00a0\u2013 auch weil f\u00fcr den Angriff keine speziellen Berechtigungen erforderlich sind. Eine App, die eine legitime und n\u00fctzliche Funktion zu bieten scheint, kann still und leise Einmalcodes f\u00fcr die Multi-Faktor-Authentifizierung<\/a>, Passw\u00f6rter f\u00fcr Krypto-Wallets und andere Informationen an Betr\u00fcger senden.<\/p>\n

Eine weitere beliebte Angriffstaktik besteht darin, sich die erforderlichen Daten in Echtzeit anzusehen, wie sie auf dem Bildschirm erscheinen. Dabei wird das Opfer per Messaging-App angerufen und unter verschiedenen Vorw\u00e4nden davon \u00fcberzeugt, die Bildschirmfreigabe zu aktivieren<\/a>.<\/p>\n

Anatomie des Pixnapping-Angriffs<\/h2>\n

Den Forschern gelang es, Screenshots von Inhalten aus anderen Apps zu erstellen. Dazu kombinierten sie bereits bekannte Methoden zum Pixel-Diebstahl aus Browsern und aus Grafikprozessoren (GPU) von ARM-Telefonen. Die angreifende App \u00fcberlagert die Zielinformationen unbemerkt durch transluzente Fenster und misst dann, wie das Videosystem die Pixel dieser \u00fcbereinanderliegenden Fenster zu einem endg\u00fcltigen Bild kombiniert.<\/p>\n

Bereits 2013 beschrieben Forscher einen Angriff, der es einer Website erm\u00f6glichte, eine andere Website teilweise in das eigene Fenster zu laden (\u00fcber einen iframe<\/a>) und durch legitime Vorg\u00e4nge (z.\u00a0B. \u00dcberlagerung und Transformation von Bildern) genau darauf zu schlie\u00dfen, was im anderen Fenster angezeigt oder geschrieben wurde. In modernen Browser ist dieser Angriff nicht mehr m\u00f6glich, eine Gruppe US-amerikanischer Forscher hat jedoch herausgefunden, wie sich dieses Prinzip auf Android \u00fcbertragen l\u00e4sst.<\/p>\n

Zuerst sendet die b\u00f6sartige App einen Systemaufruf an die Ziel-App. In Android wird dies als Intent<\/a> (Absicht) bezeichnet. Intents erm\u00f6glichen normalerweise nicht nur den einfachen Start von Apps, sondern auch Vorg\u00e4nge wie das sofortige \u00d6ffnen eines Browsers auf einer bestimmten Webseite oder den Start einer Messaging-App f\u00fcr den Chat mit einem bestimmten Kontakt. Die angreifende App sendet einen Intent, um die Ziel-App zu zwingen, den Bildschirm mit den vertraulichen Informationen zu rendern. Es werden spezielle Flags f\u00fcr den verborgenen Start verwendet. Dann sendet die sch\u00e4dliche App einen Start-Intent an sich selbst. Diese Kombination von Aktionen erm\u00f6glicht es, dass die Ziel-App \u00fcberhaupt nicht auf dem Bildschirm erscheint, aber im Hintergrund dennoch die vom Angreifer gesuchten Informationen in ihrem Fenster anzeigt.<\/p>\n

In der zweiten Angriffsphase \u00fcberlagert die attackierende App das ausgeblendete Fenster der Opfer-App mit einer Reihe transluzenter Fenster. Dadurch werden die darunter liegenden Inhalte verdeckt und unscharf gemacht. F\u00fcr den Nutzer bleibt dieser ganze Zaubertrick unsichtbar, aber Android berechnet gewissenhaft, wie diese Kombination von Fenstern aussehen soll, falls der Nutzer sie in den Vordergrund bringen m\u00f6chte.<\/p>\n

Die angreifende App kann nur Pixel aus ihren eigenen durchsichtigen Fenstern lesen. Das endg\u00fcltige Bild, das den Bildschirminhalt der Opfer-App enth\u00e4lt, ist f\u00fcr den Angreifer nicht direkt zug\u00e4nglich. Dadurch lie\u00dfen sich die Forscher jedoch nicht aufhalten und dachten sich zwei ausgekl\u00fcgelte Tricks aus: (1) Das zu stehlende Pixel wird von seiner Umgebung isoliert. Dazu wird die Opfer-App durch ein undurchsichtiges Fenster \u00fcberlagert, das nur einen einzigen Transparenzpunkt besitzt, der genau \u00fcber dem Zielpixel liegt. (2) Auf diese Kombination wird dann eine \u201eVergr\u00f6\u00dferungsschicht\u201c gelegt, die aus einem Fenster mit starker Unsch\u00e4rfe besteht.<\/p>\n

\"Funktionsweise<\/a>

Funktionsweise der Pixnapping-Schwachstelle<\/p><\/div>\n

Um dieses Durcheinander zu entschl\u00fcsseln und den Wert des Pixels zu bestimmen, nutzten die Forscher eine weitere bekannte Schwachstelle: GPU.zip<\/a> (dieser f\u00fchrt nicht etwa zu einer Datei, sondern zur Seite mit einer Beschreibung der Studie). Diese Schwachstelle beruht darauf, dass alle modernen Smartphones die Daten beliebiger Bilder komprimieren, die von der CPU an die GPU gesendet werden. Diese Komprimierung ist verlustfrei (wie bei einer zip-Datei), die Geschwindigkeit des Packens und Entpackens h\u00e4ngt jedoch von den \u00fcbertragenen Informationen ab. Mit GPU.zip kann ein Angreifer die Zeit messen, die zum Komprimieren der Informationen ben\u00f6tigt wird. Und aufgrund der Messergebnisse kann der Angreifer schlussfolgern, welche Daten \u00fcbertragen werden. Mithilfe von GPU.zip kann die angreifende App das isolierte, unscharfe und vergr\u00f6\u00dferte einzelne Pixel aus dem Fenster der Opfer-App lesen.<\/p>\n

Damit der Pixel-Diebstahl einen Sinn ergibt, muss der gesamte Vorgang hunderte Male wiederholt werden, da jeder Punkt einzeln ermittelt werden muss. Dies ist aber durchaus innerhalb relativ kurzer Zeit m\u00f6glich. In einem Videodemo<\/a> des Angriffs wurde ein sechsstelliger Code aus Google Authenticator in nur 22 Sekunden erfolgreich extrahiert\u00a0\u2013 der Code war immer noch g\u00fcltig.<\/p>\n

So sch\u00fctzt Android vertrauliche Informationen auf dem Bildschirm<\/h2>\n

Die Google-Ingenieure k\u00e4mpfen seit fast zwei Jahrzehnten gegen verschiedene Angriffe auf die Privatsph\u00e4re und haben inzwischen einen mehrstufigen Schutz gegen das illegale Aufnehmen von Screenshots und Videos entwickelt. Eine vollst\u00e4ndige Liste dieser Ma\u00dfnahmen w\u00fcrde sich \u00fcber mehrere Seiten erstrecken, also beschr\u00e4nken wir uns hier auf die wichtigsten:<\/p>\n