Ein neuer Android-Fehler lässt bösartige Apps stehlen 2FA-Codes und Nachrichten über GPU-Tarming-Angriffe, die die meisten Geräte trotz einer teilweisen Korrektur. A new Android flaw lets malicious apps steal 2FA codes and messages via GPU timing attacks, affecting most devices despite a partial fix.

Eine neu entdeckte Android-Schwachstelle namens "Pixnapping", die als CVE-2025-48561 verfolgt wird, ermöglicht es bösartigen Apps, sensible Bildschirmdaten wie Zwei-Faktor-Authentifizierungscodes und private Nachrichten mit einem Seitenkanal-Angriff zu stehlen, der die GPU-Timing ausnutzt. A newly discovered Android vulnerability called "Pixnapping," tracked as CVE-2025-48561, allows malicious apps to steal sensitive on-screen data like two-factor authentication codes and private messages using a side-channel attack that exploits GPU timing. Forscher von UC Berkeley, UC San Diego, der University of Washington und Carnegie Mellon demonstrierten, dass der Fehler fast alle modernen Android-Geräte betrifft, einschließlich Pixel und Samsung Flaggschiff-Modelle, und können 2FA-Codes in unter 30 Sekunden extrahieren. Researchers from UC Berkeley, UC San Diego, the University of Washington, and Carnegie Mellon demonstrated the flaw affects nearly all modern Android devices, including Pixel and Samsung flagship models, and can extract 2FA codes in under 30 seconds. Der Angriff tricks legitime Apps in die Anzeige von Inhalten, dann rekonstruiert es per Pixel-Level-Timing-Analyse ohne Benutzer-Zustimmung. The attack tricks legitimate apps into displaying content, then reconstructs it via pixel-level timing analysis without user consent. Google hat einen teilweisen Fix im September-Update veröffentlicht, aber Forscher bestätigen, dass der Exploit es umgehen kann, mit einem vollständigen Patch im Dezember erwartet. Google has released a partial fix in the September update, but researchers confirm the exploit can bypass it, with a full patch expected in December. Seit dem 14. Oktober 2025 wurden keine Hinweise auf eine Verwendung in der realen Welt gefunden. No evidence of real-world use has been found as of October 14, 2025. Benutzer werden empfohlen, Geräte auf dem neuesten Stand zu halten und unvertrauenswürdige Apps zu vermeiden. Users are advised to keep devices updated and avoid untrusted apps.