Er is een nieuw gevaar opgetreden voor Androidgebruikers. Met Pixnapping kunnen vertrouwelijke gegevens zomaar worden blootgelegd. Ondertussen zijn heel wat bedrijven, waaronder Google, al bezig aan mogelijke oplossingen.

Hoe werkt Pixnapping?

Onderzoekers van meerdere universiteiten hebben een ernstige kwetsbaarheid in Androidapparaten blootgelegd, genaamd “Pixnapping”. Deze aanval maakt het mogelijk om gevoelige informatie, zoals eenmalige wachtwoorden, privéberichten en andere vertrouwelijke gegevens, te stelen van vrijwel alle moderne Androidtoestellen. De methode gebruikt de “intents”-functie van Android, waarmee apps met elkaar communiceren, om doeltoepassingen zoals Google Authenticator stilletjes te openen en afzonderlijke pixels van het scherm te reconstrueren.

De aanval is traag, maar doeltreffend. Door de grafische rendertijden van de GPU te manipuleren, kan een kwaadwillende app de kleur van elke pixel bepalen en zo stap voor stap de inhoud van het scherm achterhalen. Dit betekent dat berichten en codes die normaal veilig zouden zijn, alsnog kunnen worden buitgemaakt, zonder dat de gebruiker iets merkt.

Nieuwe risico’s

Google bracht al een patch uit om de impact van Pixnapping te beperken, maar onderzoekers hebben inmiddels een workaround ontwikkeld. Een nieuwe update wordt verwacht in het Android beveiligingsbulletin van december 2025. Het onderzoek toonde ook een tweede kwetsbaarheid: apps kunnen andere geïnstalleerde apps identificeren, waardoor kwaadwillenden gebruikers kunnen profileren op basis van hun appgebruik.

Pixnapping benadrukt hoe complex het beveiligen van smartphones is. Zelfs wanneer updates worden geïnstalleerd, blijft de dreiging bestaan zolang aanvallers nieuwe technieken ontwikkelen. Androidgebruikers wordt aangeraden hun systemen up-to-date te houden en alleen apps uit betrouwbare bronnen te installeren om het risico op datadiefstal te minimaliseren.