Bandar Lampung (Lampost.co) — Dunia keamanan digital kembali diguncang oleh temuan ancaman baru di perangkat Android bernama Pixnapping, metode serangan yang mampu mencuri kode autentikasi dua faktor (2FA), lokasi, hingga data pribadi hanya dalam waktu kurang dari 30 detik.
Serangan ini ditemukan oleh tim peneliti akademis yang berhasil membuktikan efektivitasnya di beberapa perangkat populer, termasuk Google Pixel dan Samsung Galaxy S25.
Yang membuatnya berbahaya, Pixnapping tidak memerlukan izin sistem apa pun. Aplikasi berbahaya cukup diinstal di perangkat korban dan mampu membaca data visual dari aplikasi lain yang sedang ditampilkan di layar—tanpa perlu akses khusus atau izin pengguna.
Cara Kerja Pixnapping: Intip Layar Tanpa Screenshot
Berbeda dari metode phishing atau malware biasa, Pixnapping bekerja melalui celah visual di sistem rendering GPU Android.
Aplikasi berbahaya memicu aplikasi target seperti Google Authenticator agar menampilkan data sensitif, lalu memantau perubahan warna piksel di layar dengan cara mengukur waktu render per frame. Dari pola perubahan warna itu, pelaku dapat menyusun kembali tampilan layar target — termasuk kode OTP, teks, atau pesan rahasia.
Salah satu peneliti, Alan Linghao Wang, menjelaskan:
“Konsepnya seperti aplikasi jahat yang bisa mengambil screenshot dari layar lain tanpa benar-benar memotretnya. Kami hanya membaca waktu rendering untuk mengetahui warna tiap piksel.”
Tingkat Keberhasilan Serangan
Dalam uji coba, peneliti berhasil mencuri 100 kode 2FA dari Google Authenticator di berbagai seri Pixel.
Hasilnya cukup mencengangkan:
-
73% keberhasilan di Pixel 6
-
53% di Pixel 7
-
29% di Pixel 8
-
53% di Pixel 9
Rata-rata waktu pencurian hanya 14–25 detik per kode.
Pada perangkat Samsung Galaxy S25, serangan tidak berhasil sepenuhnya karena adanya gangguan sinyal visual (noise) yang tinggi.
Respons Google dan Patch Keamanan
Google mengonfirmasi telah menambal sebagian celah tersebut melalui CVE-2025-48561 pada pembaruan keamanan September 2025. Namun, peneliti menemukan bahwa versi modifikasi Pixnapping masih bisa berfungsi, sehingga patch tambahan baru akan meluncur pada Desember 2025.
Perusahaan menegaskan bahwa sejauh ini belum ada indikasi serangan Pixnapping digunakan di dunia nyata, namun mereka mengakui bahwa ancaman ini menunjukkan potensi serius dalam visual data leakage di Android.
Langkah Aman untuk Pengguna Android
Peneliti dan Google sama-sama mengingatkan agar pengguna:
-
Waspada terhadap aplikasi dengan izin overlay atau display over other apps.
-
Hindari instalasi dari sumber tidak resmi.
-
Perbarui sistem keamanan Android secara rutin.
-
Gunakan autentikasi multifaktor berbasis hardware (seperti kunci keamanan fisik) untuk perlindungan tambahan.
Pixnapping menjadi bukti bahwa bahkan sistem dengan isolasi aplikasi kuat masih ada yang bisa menembusnya lewat celah visual, menjadikannya peringatan penting bagi pengembang dan pengguna untuk meningkatkan keamanan privasi di Android.
