Peneliti keamanan siber telah menemukan jenis serangan baru yang memengaruhi perangkat Android, dan menurut mereka serangan ini memungkinkan peretas mendapatkan data pribadi Anda dalam hitungan detik.
Ini termasuk obrolan pribadi, pesan teks, email, dan bahkan kode otentikasi dua faktor (2FA), seperti yang dilaporkan Ars Technica.
Serangan yang dijuluki “Pixnapping” oleh tim peneliti yang menemukannya, dapat digunakan untuk mengekstrak informasi dari data apa pun yang ditampilkan di layar. Pertama, korban harus mengunduh aplikasi berbahaya. Setelah aplikasi diinstal, serangan Pixnapping dapat terjadi tanpa korban memberikan izin perangkat lebih lanjut.
“Apa pun yang terlihat saat aplikasi target dibuka dapat dicuri oleh aplikasi jahat menggunakan Pixnapping,” demikian bunyi pesan di situs Pixnapping, sumber daya yang dibuat oleh para peneliti untuk berbagi informasi tentang serangan tersebut. “Pesan obrolan, kode 2FA, pesan email, dll. semuanya rentan karena terlihat.”
Menurut situs Pixnapping, kerentanan tersebut dirinci dalam makalah penelitian baru, bagian dari kolaborasi antara tujuh peneliti di Universitas California, Berkeley, Universitas Washington, Universitas California, San Diego, dan Universitas Carnegie Mellon. Pracetak makalah tersebut, berjudul “Pixnapping: Membawa Pencurian Piksel dari Zaman Batu,” tersedia online dan akan diterbitkan minggu ini pada Konferensi ACM ke-32 tentang Keamanan Komputer dan Komunikasi di Taiwan.
Kecepatan Cahaya yang Dapat Dihancurkan
Informasi yang tidak dapat ditampilkan di layar perangkat Android, seperti kunci rahasia yang dikaburkan menggunakan tanda bintang misalnya, tidak dapat dicuri oleh para hacker dalam serangan Pixnapping. Ini karena cara serangannya dilakukan.
Setelah korban menginstal aplikasi berbahaya, ia menggunakan API Android untuk menargetkan aplikasi lain yang memiliki akses ke data sensitif. Aplikasi kemudian mengakses piksel yang ditampilkan di layar menggunakan kebocoran data yang tidak disengaja, yang juga dikenal sebagai saluran samping perangkat keras. Aplikasi jahat mendorong masing-masing piksel tersebut melalui pipa rendering, tempat serangan Pixnapping kemudian melakukan operasi grafis. Hal ini berlanjut hingga pengenalan karakter optik, atau OCR, dapat terjadi, yang berarti aplikasi dapat mengekstrak teks dari visual.
Akibatnya, informasi apa pun yang ditampilkan di layar perangkat Anda dapat dicuri.
“Secara konseptual, seolah-olah aplikasi jahat mengambil tangkapan layar dari konten layar yang seharusnya tidak dapat diakses,” demikian bunyi situs Pixnapping.
Para peneliti menguji serangan Pixnapping pada ponsel pintar Google Pixel 6 hingga 9, serta Samsung Galaxy S25, yang menjalankan berbagai versi sistem operasi seluler Android, dari Android 13 hingga 16.
Meskipun hal ini merupakan berita yang mengkhawatirkan, para peneliti mengatakan bahwa mereka tidak mengetahui adanya contoh nyata eksploitasi yang digunakan di alam liar.
Tim peneliti keamanan siber memberi tahu Google tentang kerentanan Android pada bulan Februari. Google merilis patch pertamanya untuk Pixnapping bulan lalu. Namun, para peneliti menemukan solusinya dalam beberapa hari, dan sekali lagi memberi tahu Google. Google mengatakan itu akan terjadi melepaskan patch Pixnapping tambahan di buletin keamanan Android bulan Desember.