Det nya Android-hotet: Hackare kan stjäla 2FA-koder på under 30 sekunder

1. En attack ingen såg komma

Forskare har upptäckt en ny och effektiv hackerattack kallad Pixnapping, som kan stjäla tvåfaktorskoder, meddelanden och annan känslig information direkt från Android-telefoners skärmar. Attacken kan utföras på under 30 sekunder och kräver inga systemtillstånd från användaren. Den har demonstrerats på Google Pixel-telefoner och Samsung Galaxy S25.

2. Hur attacken fungerar

Pixnapping utnyttjar en grafisk sidokanal i telefonens GPU. Genom att mäta hur lång tid det tar att återge enskilda pixlar kan en skadlig app avgöra vilka tecken eller former som visas. Metoden låter angriparen återskapa skärmens innehåll pixel för pixel – som en osynlig skärmdump.

3. Den dolda appen i systemet

Attacken börjar med att offret installerar en till synes harmlös app som inte begär några misstänkta behörigheter. Appen kan via Android-API:er få andra appar att visa specifikt innehåll (till exempel en 2FA-kod) och därmed skicka pixlar till renderingsprocessen, som Pixnapping sedan mäter och tolkar.

Läs också: Nvidia passerade 4 000 miljarder dollar

4. Tre steg till full datastöld

Forskarna beskriver tre steg: (1) Den skadliga appen får målappen att visa data. (2) Den utför grafiska operationer på specifika koordinater för att skapa en mätbar sidokanal. (3) Den mäter renderingstiderna och återskapar innehållet. Kombinationen gör det möjligt att extrahera koder, meddelanden eller annan synlig information utan filåtkomst.

5. Arvet från GPU.zip

Pixnapping påminner om attacken GPU.zip från 2023, där en webbläsarbaserad sidokanal kunde läsa användarnamn och annan information via GPU:n. Dessa sårbarheter löstes aldrig i hårdvaran, utan blockerades delvis i webbläsarna. Pixnapping visar att samma typ av angrepp nu hotar mobila enheter.

6. Googles uppdateringar och begränsningar

Google släppte en delvis korrigering i september (CVE-2025-48561) och planerade ytterligare patchar i december. Forskarna visade dock att en modifierad version av attacken fortfarande fungerar på uppdaterade Pixel-enheter. Google uppger att det ännu inte finns några bevis för att attacken används i praktiken.

7. Effektivitet i laboratoriet

I tester lyckades forskarna återskapa kompletta sexsiffriga 2FA-koder i upp till 73 % av fallen på Pixel 6 och runt 50 % på nyare Pixel-modeller. Den genomsnittliga tiden per attack var mellan 14 och 26 sekunder, tillräckligt snabbt för att hinna fånga en giltig kod innan den löper ut. På Galaxy S25 misslyckades försöket på grund av grafiskt brus.

Läs också: Apple vill köpa F1-rättigheterna

8. Konsekvenser för mobilsäkerheten

Pixnapping avslöjar ett grundläggande säkerhetsproblem i Androids arkitektur: grafiska operationer kan skapa mätbara sidokanaler. Även om massangrepp är osannolika innebär detta att antagandet om full isolering mellan appar måste omprövas. Det kräver både hårdvaruförändringar, systemuppdateringar och striktare granskning av appar.

Läs också: Samsung fortsätter med galna priser