Keamanan ponsel Android lagi-lagi diuji. Kali ini bukan karena malware biasa, tapi karena sebuah temuan dari tim peneliti keamanan yang menemukan cara mencuri data lewat celah di sistem grafis Android.
Serangan ini diberi nama Pixnapping, dan bisa mencuri kode 2FA, pesan pribadi, serta data penting lainnya tanpa meminta izin dari pengguna sama sekali.
Awal Mula Serangan Pixnapping Pixnapping bukan nama keren semata. Istilah ini diambil dari kata “pixel” dan “snapping” yang berarti menangkap piksel layar.
Cara kerjanya sederhana tapi brilian. Aplikasi jahat tidak memotret layar, tidak merekam tampilan, dan tidak meminta izin apa pun. Ia hanya mengamati cara GPU menampilkan gambar di layar. Ketika ponsel menampilkan sesuatu, GPU akan memproses piksel demi piksel dengan kecepatan tinggi. Dari luar terlihat normal, tapi di balik itu ada pola waktu yang berbeda-beda. Nah, perbedaan waktu itulah yang ternyata bisa digunakan untuk menebak isi layar pengguna. Jadi, bisa dibilang Pixnapping adalah cara hacker mencuri pandangan mata tanpa benar-benar melihat.
Bagaimana Cara Kerjanya Pixnapping berjalan dalam tiga langkah yang saling berhubungan:
- Aplikasi jahat memicu tampilan data penting.
Contohnya, aplikasi itu memancing Google Authenticator agar menampilkan kode 2FA di layar. - Mengukur waktu render piksel.
Aplikasi jahat menambahkan lapisan transparan di atas tampilan dan mengamati seberapa lama GPU merender tiap piksel. Waktu yang sedikit lebih cepat atau lebih lambat bisa menunjukkan warna berbeda. - Menyusun hasil pengamatan jadi gambar atau teks.
Dari ribuan titik waktu yang dikumpulkan, aplikasi bisa menebak bentuk angka, huruf, atau pola yang sedang muncul.
Dalam penelitian, tim pengembang Pixnapping berhasil membaca kode 2FA enam digit dari aplikasi Google Authenticator di perangkat Google Pixel 6 hingga Pixel 9.
Waktu yang dibutuhkan rata-rata 14 hingga 25 detik, dengan tingkat keberhasilan mencapai 73 persen di Pixel 6.
Sementara di Samsung Galaxy S25, hasilnya tidak terlalu stabil karena sistem grafis Samsung memiliki perlindungan tambahan.
Sudah Diperbaiki oleh Google? Google langsung bergerak cepat. Mereka merilis patch keamanan September 2025 dengan kode CVE-2025-48561 untuk menutup sebagian celah Pixnapping.
Namun peneliti menemukan bahwa versi serangan yang lebih baru masih bisa lolos dari perlindungan tersebut.
Google berjanji akan memperkuat sistem dengan pembaruan tambahan pada Desember 2025. Menurut Google, belum ada bukti serangan nyata yang terjadi di dunia maya. Meski begitu, mereka mengakui penelitian ini membuka wawasan baru soal batasan keamanan visual di Android.
Kenapa Serangan Ini Dianggap Serius Serangan seperti Pixnapping sulit dideteksi. Tidak ada notifikasi, tidak ada permintaan izin, dan tidak ada tanda mencurigakan.
Bagi pengguna, ponsel terlihat normal. Tapi di balik layar, aplikasi jahat sedang “mengukur” waktu render GPU untuk menebak apa yang muncul di layar. Ancaman ini berbahaya karena bisa digunakan untuk berbagai skenario, misalnya:
- Mencuri kode 2FA sebelum kadaluarsa.
- Mengintip isi pesan atau notifikasi sensitif.
- Membaca potongan data dari aplikasi keuangan.
Dengan kata lain, Pixnapping bukan cuma teori. Ia menunjukkan bahwa keamanan digital kini harus menyentuh level hardware, bukan sekadar software.
Tips Melindungi Diri dari Serangan Pixnapping Kabar baiknya, kamu tetap bisa mencegah serangan ini dengan langkah sederhana:
- Selalu perbarui sistem Android. Pastikan patch keamanan terbaru sudah terpasang.
- Unduh aplikasi hanya dari Play Store. Hindari file APK dari luar yang tidak jelas sumbernya.
- Gunakan autentikasi dua langkah yang lebih aman. Pilih verifikasi berbasis notifikasi atau kunci fisik (security key).
- Periksa izin tampilan. Cabut izin “Display over other apps” dari aplikasi yang tidak kamu kenal.
- Aktifkan Google Play Protect. Fitur ini bisa mendeteksi dan memblokir aplikasi jahat sebelum aktif.
Langkah kecil seperti ini bisa mengurangi risiko besar di masa depan.
Wawasan Tambahan Pixnapping adalah bentuk side channel attack, yaitu jenis serangan yang mencuri informasi lewat sinyal tidak langsung, seperti waktu proses atau perbedaan performa sistem.
Dulu, teknik seperti ini hanya ditemukan di penelitian akademik. Tapi sekarang, dengan GPU yang makin kuat di ponsel, serangan semacam ini makin realistis. Para ahli menilai, masa depan keamanan digital akan semakin rumit. Bukan hanya soal software dan izin aplikasi, tapi juga soal bagaimana perangkat keras bereaksi terhadap data yang diprosesnya. Bagi pengguna biasa, pelajarannya jelas: update bukan sekadar formalitas.
Setiap patch keamanan adalah bentuk pertahanan dari serangan yang mungkin belum kamu dengar, tapi sudah ditemukan oleh orang lain.
Kesimpulan Pixnapping mungkin terdengar rumit, tapi dampaknya nyata. Ia menunjukkan bahwa bahkan tampilan layar pun bisa menjadi sumber kebocoran data.
Riset ini penting karena mengingatkan kita bahwa keamanan digital tidak berhenti di password atau antivirus saja. Selalu waspada, rajin memperbarui sistem, dan jangan sembarangan memasang aplikasi.
Kadang yang terlihat sepele justru bisa membuka pintu bagi serangan besar.