 |
| cover | topik.id |
Pixnapping merupakan teknik serangan baru yang memungkinkan aplikasi Android berbahaya membocorkan informasi yang tampil di layar aplikasi lain atau situs web, tanpa perlu izin khusus. Serangan ini mengeksploitasi kombinasi API Android dan kanal sisi-perangkat keras sehingga dapat bekerja pada banyak perangkat Android modern.
Tim peneliti serangan Pixnapping, telah mendemonstrasikan ekstraksi data sensitif dari berbagai aplikasi dan layanan populer, termasuk Gmail, Signal, Google Authenticator, Venmo, dan Google Maps.
Dalam demonstrasi nyata, peneliti berhasil menerapkan Pixnapping pada beberapa perangkat Pixel dan Samsung (Android 13–16) dan menunjukkan pemulihan informasi seperti pesan obrolan dan kode 2FA. Kasus yang mengkhawatirkan, para peneliti mampu mencuri kode Google Authenticator dalam waktu kurang dari 30 detik sambil menyembunyikan aktivitas jahat tersebut dari pengguna. Ini menandakan potensi dampak serius terhadap mekanisme otentikasi dua faktor yang selama ini dianggap aman dari aplikasi lain di perangkat yang sama.
Makalah penelitian tentang Pixnapping berjudul “Pixnapping: Membawa Pencurian Piksel Keluar dari Zaman Batu” diterbitkan di konferensi ACM (OCT 13–17, 2025). Penelitian ini adalah hasil kolaborasi antara peneliti dari UC Berkeley, Universitas Washington, UC San Diego, dan Carnegie Mellon. Selain makalah dan video demo, tim menyediakan pracetak dan kutipan BibTeX untuk sitasi akademis.
"Kami menerapkan Pixnapping pada lima perangkat yang menjalankan Android versi 13 hingga 16 (hingga id build BP3A.250905.014): Google Pixel 6, Google Pixel 7, Google Pixel 8, Google Pixel 9, dan Samsung Galaxy S25. Kami belum mengonfirmasi apakah perangkat Android dari vendor lain juga terpengaruh oleh Pixnapping. Namun, mekanisme inti yang memungkinkan serangan ini biasanya tersedia di semua perangkat Android," tulis dalam laporan resmi peneliti di laman pixnapping.com, seperti dilansir Rabu (15/10/2025).
Dari sisi mitigasi dan tanggapan vendor, Google sudah mencoba membatasi beberapa API yang memungkinkan serangan ini, misalnya membatasi aktivitas yang memicu efek blur, tetapi peneliti menemukan cara agar Pixnapping tetap berfungsi meskipun ada patch awal tersebut.
Hingga Oktober 2025 belum ada komitmen perbaikan penuh dari vendor GPU terkait kanal samping (GPU.zip) yang dimanfaatkan serangan ini, dan beberapa perbaikan masih berada dalam proses atau dalam keadaan “tidak akan diperbaiki” menurut laporan koordinasi kerentanan.
Namun, untuk pengguna umum, saran praktis yang diberikan tim peneliti adalah segera memasang patch Android resmi setelah tersedia, itu satu-satunya rekomendasi langsung yang mereka berikan.
Untuk pengembang aplikasi, saat ini belum ada strategi mitigasi yang teruji untuk melindungi aplikasi secara andal dari Pixnapping, tim peneliti bahkan meminta masukan komunitas jika ada ide mitigasi yang efektif sehingga bagian panduan bisa diperbarui.
"Pixnapping memaksa piksel sensitif ke dalam alur rendering dan melapisi aktivitas semi-transparan di atas piksel tersebut melalui intent Android. Untuk menginduksi operasi grafis pada piksel ini, instansiasi kami menggunakan API pemburaman jendela Android," ungkapnya.
Secara teknis, Pixnapping bekerja melalui tiga langkah konseptual: (1) memicu aplikasi target untuk merender informasi sensitif, (2) menginduksi operasi grafis pada piksel tertentu (mis. via efek blur atau manipulasi rendering), dan (3) memanfaatkan kanal samping perangkat keras untuk mengukur dan mengekstrak nilai warna/piksel satu per satu, lalu menjalankan OCR pada piksel yang dipulihkan untuk merekonstruksi teks.
Dengan pengulangan langkah ini untuk cukup banyak piksel, serangan menyerupai pembuatan tangkapan layar tersembunyi meskipun aplikasi penyerang tidak memiliki izin tangkap-layar.
Selain Pixnapping, tim juga mengungkapkan kerentanan terpisah yang memungkinkan aplikasi menentukan apakah aplikasi tertentu terpasang pada perangkat (bypass daftar aplikasi), yang berisiko digunakan untuk profiling pengguna.
Penemuan ini dilacak sebagai CVE-2025-48561; logo proyek dirilis di bawah lisensi CC0, dan kode sumber dijanjikan akan dipublikasikan setelah patch tersedia.
"Google telah mencoba menambal Pixnapping dengan membatasi jumlah aktivitas yang dapat dipicu oleh aplikasi yang menyebabkan efek blur . Namun, kami menemukan solusi agar Pixnapping tetap berfungsi meskipun ada patch ini. Solusi ini masih dalam embargo," terangnya.
.png.webp "5 Platform AI gratis besutan China, cocok buat konten")