Credit image: Freepix
Aplikasi Tanpa Izin Bisa Curi Isi Layar Ponsel Android – Para peneliti keamanan siber baru-baru ini menemukan serangan side-channel baru yang disebut Pixnapping, sebuah serangan yang sangat berbahaya.
Yang membuat serangan ini sangat berbahaya adalah aplikasi Android berbahaya dapat mencuri data sensitif yang ditampilkan di layar ponsel Anda, bahkan tanpa memerlukan izin (izin akses) apa pun.
Serangan ini bekerja dengan cara mencuri piksel yang ditampilkan oleh aplikasi atau website, lalu merekonstruksinya kembali untuk mengetahui isinya.
Ibaratnya, aplikasi jahat itu mengambil tangkapan layar (screenshot) secara diam-diam terhadap konten yang seharusnya tidak bisa mereka akses.
Data Apa Saja yang Terancam Dicuri?
Serangan Pixnapping bisa menargetkan data pribadi yang sangat sensitif, termasuk:
- Pesan chat dari aplikasi komunikasi aman seperti Signal.
- Email dari layanan seperti Gmail.
- Kode Two-Factor Authentication (2FA) dari aplikasi seperti Google Authenticator.
Tim peneliti dari tujuh universitas di Amerika Serikat berhasil mendemonstrasikan serangan ini pada perangkat Android modern yang sudah diperbarui (fully patched). Mereka berhasil mencuri kode 2FA hanya dalam waktu kurang dari 30 detik.
|
Baca juga: Serangan Massal Menargetkan Protokol RDP Microsoft |
Bagaimana Cara Kerja Pixnapping?
Meskipun terlihat canggih, konsep di baliknya cukup sederhana, memanfaatkan cara sistem Android menangani tampilan layar:
1. Memaksa Tampilan Bersamaan
Aplikasi jahat memulai serangan dengan menyalahgunakan sistem intents Android (seperti sistem perintah) untuk meluncurkan aplikasi target (misalnya, Google Authenticator).
Hal ini memastikan jendela aplikasi target ikut masuk ke dalam proses komposisi sistem (SurfaceFlinger), yaitu sistem yang bertugas menggabungkan berbagai jendela agar bisa terlihat bersamaan di layar.
2. Memetakan Piksel dengan Masker
Aplikasi jahat kemudian bekerja dengan memetakan setiap piksel target, misalnya, piksel yang membentuk angka kode 2FA.
Untuk mengisolasi setiap piksel, penyerang membuka “masking activity” yaitu jendela penutup yang berada di latar depan dan menutupi aplikasi target.
Jendela penutup ini diatur sedemikian rupa: semua pikselnya diatur menjadi putih buram, kecuali satu piksel pada lokasi tertentu yang dibuat transparan.
3. Membaca Informasi Piksel
Dengan hanya menyisakan satu piksel target yang “terlihat,” penyerang kemudian melakukan operasi grafis berulang untuk menentukan apakah piksel itu berwarna putih atau non-putih (berwarna).
4. Memanfaatkan Efek Blur (Quirk)
Selama serangan Pixnapping, piksel yang terisolasi diperbesar. Hal ini memanfaatkan “keanehan” (quirk) dalam cara SurfaceFlinger mengimplementasikan efek blur (mengaburkan) yang justru menghasilkan efek seperti peregangan, mengubah piksel 1×1 menjadi bercak warna yang lebih besar dan mudah dianalisis.
5. Membaca Karakter
Setelah berhasil mendapatkan semua piksel, teknik seperti OCR (pengenalan karakter optis) digunakan untuk membedakan setiap karakter atau digit.
|
Baca juga: PromptLock Lahirnya Ransomware Bertenaga AI Pertama |
Untuk menjalankan seluruh operasi pencurian data ini, para peneliti menggunakan serangan side-channel yang disebut GPU.zip, yang mengeksploitasi kompresi data grafis di GPU modern untuk membocorkan informasi visual.
Meskipun kecepatan bocoran datanya relatif rendah (sekitar 0,6 hingga 2,1 piksel per detik), optimasi yang ditunjukkan oleh peneliti membuktikan bahwa kode 2FA dapat dicuri dalam waktu kurang dari 30 detik.
Perangkat Android Mana yang Rentan?
Para peneliti telah mendemonstrasikan Pixnapping pada perangkat Google Pixel 6, 7, 8, dan 9, serta Samsung Galaxy S25, yang menjalankan Android versi 13 hingga 16. Semuanya terbukti rentan.
Karena mekanisme dasar yang membuat Pixnapping efektif ditemukan pada versi Android yang lebih lama, kemungkinan besar sebagian besar perangkat Android, bahkan dengan versi OS lama, juga rentan terhadap serangan ini.
Upaya Penanganan dari Google
Google telah berupaya memperbaiki masalah ini (CVE-2025-48561) melalui pembaruan keamanan Android bulan September. Namun, para peneliti berhasil melewati mitigasi awal tersebut.
Google kini telah mengembangkan patch (perbaikan) yang lebih menyeluruh, yang diharapkan akan dirilis bersamaan dengan pembaruan keamanan Android bulan Desember 2025.
Google dan Samsung telah berkomitmen untuk memperbaiki celah ini sebelum akhir tahun. Namun, belum ada vendor chip GPU yang mengumumkan rencana perbaikan untuk mengatasi serangan side-channel GPU.zip.
Saat ini, Google menyatakan bahwa serangan ini memerlukan data spesifik tentang perangkat target, yang mengakibatkan tingkat keberhasilan yang rendah.
Verifikasi terbaru juga belum menemukan adanya aplikasi berbahaya di Google Play yang menyalahgunakan kerentanan Pixnapping ini.
Saran Keamanan: Meskipun belum ada laporan serangan aktif, pastikan Anda selalu memperbarui sistem operasi Android dan aplikasi Anda ke versi terbaru segera setelah tersedia, terutama untuk pembaruan keamanan bulan Desember mendatang.
Sumber berita:
