Hacker Bisa “Ngintip” Layar Android Tanpa Izin, Begini Cara Kerja Serangan Pixnapping

by

Kalau kamu pikir keamanan ponsel Android sudah cukup kuat, riset terbaru ini bakal bikin kamu mikir dua kali.
Tim peneliti keamanan menemukan teknik baru bernama Pixnapping yang memungkinkan aplikasi jahat mencuri kode verifikasi 2FA, isi chat, hingga email pribadi, bahkan tanpa izin dari sistem.

Cuma dengan satu aplikasi berbahaya yang tampak biasa, data penting bisa “terbaca” dalam waktu kurang dari 30 detik.

Serangan yang Tidak Butuh Izin

Selama ini, Android punya sistem izin (permission) yang ketat. Aplikasi tidak bisa asal membaca data aplikasi lain tanpa persetujuan pengguna. Tapi Pixnapping melanggar aturan main itu.

Alih-alih meminta izin seperti “akses layar” atau “rekam tampilan”, teknik ini mengintip lewat celah di GPU, yaitu chip yang bertugas menampilkan grafis di layar.
GPU bekerja dengan kecepatan tinggi, dan dalam prosesnya meninggalkan pola waktu rendering piksel yang bisa dianalisis.

Nah, pola waktu inilah yang dimanfaatkan untuk menebak tampilan layar pengguna, piksel demi piksel.
Tanpa disadari, hacker bisa menyalin angka, huruf, atau pola tampilan sensitif dari aplikasi lain.

Bagaimana Pixnapping Bekerja

Serangan Pixnapping terdiri dari tiga langkah:

  1. Memancing aplikasi target.
    Aplikasi jahat diam-diam membuka atau memicu aplikasi lain, misalnya Google Authenticator, agar kode 2FA tampil di layar.
  2. Menganalisis tampilan.
    Aplikasi ini menambahkan lapisan transparan di atas layar dan mulai menghitung waktu render tiap piksel. Dari perubahan waktu itulah warna dan bentuk di baliknya bisa ditebak.
  3. Menyusun ulang data.
    Setelah data dari ribuan piksel terkumpul, aplikasi jahat menyusunnya kembali menjadi bentuk teks atau angka. Hasilnya bisa berupa 6 digit kode 2FA atau potongan isi chat yang terbaca.

Dalam penelitian, para ahli berhasil membocorkan kode 2FA dari aplikasi Google Authenticator di beberapa perangkat Pixel 6 hingga Pixel 9.
Tingkat keberhasilannya bervariasi, dari 30 sampai 70 persen, dengan waktu serangan rata-rata 14 sampai 25 detik.
Sedangkan di Samsung Galaxy S25, serangan lebih sulit karena sistem keamanan grafis bawaan Samsung menimbulkan gangguan tambahan.

Sudah Ada Patch dari Google

Google tidak tinggal diam. Mereka merilis patch keamanan September 2025 dengan kode CVE-2025-48561 yang menutup sebagian jalur serangan ini.
Namun para peneliti menemukan versi serangan yang masih bisa bekerja meski patch sudah terpasang. Karena itu, Google berencana mengeluarkan pembaruan tambahan pada Desember 2025.

Menurut pernyataan resmi, belum ada kasus nyata Pixnapping di dunia nyata, tapi riset ini penting karena membuka wawasan bahwa ancaman siber tidak selalu datang dari aplikasi mencurigakan. Kadang justru dari cara kerja sistem itu sendiri.

Apa Bahayanya bagi Pengguna

Pixnapping menandai munculnya babak baru dalam keamanan digital. Serangan ini tidak membutuhkan izin khusus, tidak menampilkan pop-up, dan tidak menimbulkan tanda mencurigakan.
Itu artinya, pengguna bisa jadi korban tanpa menyadarinya sama sekali.

Bayangkan, kamu membuka aplikasi keuangan atau menyalin kode OTP, dan dalam hitungan detik aplikasi lain sudah menebak tampilannya di balik layar.
Inilah bentuk baru pencurian data yang jauh lebih halus daripada malware atau phishing biasa.

Cara Melindungi Diri

Meskipun terdengar canggih, langkah pencegahan untuk serangan seperti ini tetap sederhana dan bisa dilakukan siapa saja:

  1. Selalu update sistem Android. Pastikan patch keamanan terbaru sudah terpasang.
  2. Jangan asal instal aplikasi. Unduh hanya dari Google Play Store dan hindari file APK dari internet.
  3. Gunakan verifikasi dua langkah berbasis perangkat. Pilih notifikasi langsung ke HP atau security key fisik, bukan kode angka di layar.
  4. Matikan izin overlay. Cabut izin “Display over other apps” untuk aplikasi yang tidak jelas fungsinya.
  5. Aktifkan Google Play Protect. Fitur ini bisa mendeteksi dan memblokir aplikasi berbahaya sejak awal.

Langkah kecil seperti ini sudah cukup untuk menutup sebagian besar peluang serangan.

Wawasan: GPU Jadi Celah Baru Dunia Digital

Kasus Pixnapping membuka mata dunia bahwa keamanan perangkat bukan cuma soal software atau virus, tapi juga arsitektur hardware.
GPU yang dirancang untuk performa tinggi ternyata bisa menimbulkan celah baru karena sistem belum dirancang untuk mencegah pengukuran waktu di level piksel.

Peneliti menyebutnya sebagai side channel attack, di mana informasi bocor bukan karena bug langsung, tapi lewat “sinyal” tidak sengaja yang ditinggalkan sistem.

Artinya, ke depan, keamanan visual dan hardware akan jadi fokus baru bagi pembuat sistem operasi.
Untuk pengguna, pelajarannya jelas: update bukan sekadar formalitas. Itu adalah lapisan pertahanan pertama dari serangan canggih semacam ini.

Kesimpulan

Pixnapping memang masih sebatas riset, tapi dampaknya besar. Ia membuktikan bahwa hacker bisa menembus batas logika keamanan hanya dengan memanfaatkan waktu kerja GPU.
Karena itu, penting untuk selalu menjaga kebersihan digital: update perangkat, hati-hati pasang aplikasi, dan jangan menyepelekan patch bulanan.

Keamanan digital bukan soal siapa yang paling pintar, tapi siapa yang paling waspada.

mpo500 mpo500 mpo500 mpo500 mpo500 mpo500 slot mpo500 mpo500 slot mpo500 login mpo500 alternatif mpo500 daftar mpo500 slot mpo500 slot gacor mbahslot mbahslot mbahslot mbahslot alternatif pgslot08 pgslot08 pgslot08 login pgslot08 alternatif pgslot08 daftar mplay777 mplay777 mplay777 mplay777 slot qqlucky8 qqlucky8 qqlucky8 qqlucky8 slot qqlucky8 alternatif https://kpud-manokwarikab.id/ mpo500 pgslot08 https://ufc.ac.id/ mpo500 slot mpo500 alternatif https://filehippo.co.id/ mpo500 login mpo500 daftar mbahslot https://umr.ac.id/ mpo500 alternatif mplay777 alternatif mpo500 mpo500 mpo500 mbahslot pgslot08 mplay777 qqlucky8 mpo500 slot slot mpo500 slot online gacor mpo500 slot gacor mpo500 login mpo500 mpo500 slot daftar mpo500 mpo500 alternatif mpo500 mpo500 alternatif mpo500 slot