Pernah merasa aman karena sudah pakai verifikasi dua langkah alias 2FA? Sekarang kamu harus lebih waspada.
Tim peneliti keamanan baru saja menemukan serangan baru bernama Pixnapping, yang bisa mencuri kode 2FA, pesan pribadi, bahkan lokasi pengguna Android tanpa perlu izin sama sekali.
Cuma lewat satu aplikasi jahat, hacker bisa “mengintip” tampilan layar ponsel kamu dan menyalin data penting yang muncul di situ.
Kok Bisa Begitu?
Pixnapping bekerja dengan cara yang kelihatan mustahil.
Biasanya, sistem Android melindungi data setiap aplikasi agar tidak bisa diakses aplikasi lain. Tapi Pixnapping menemukan celah di tempat yang jarang diperhatikan: GPU, atau otak grafis yang bertugas menampilkan gambar ke layar.
GPU ini bekerja cepat, tapi cara kerjanya meninggalkan jejak waktu. Nah, peneliti menemukan bahwa perbedaan waktu render setiap piksel di layar bisa dijadikan petunjuk untuk menebak tampilan di baliknya.
Dengan kata lain, aplikasi jahat bisa tahu apa yang muncul di layar kamu tanpa benar-benar memotret layar.
Mereka menyebutnya “Pixnapping”, karena teknik ini seperti “menculik piksel” di layar.
Bagaimana Serangan Ini Berjalan
Untuk bisa bekerja, pengguna harus terlebih dahulu memasang aplikasi yang sudah disusupi malware. Setelah itu, Pixnapping menjalankan tiga tahap serangan:
- Aplikasi jahat memancing data sensitif.
Misalnya, ia membuka Google Authenticator agar kode 2FA muncul di layar. - Melakukan pengukuran waktu render.
Aplikasi ini menambahkan lapisan transparan di atas layar lalu menghitung waktu yang dibutuhkan GPU untuk menampilkan piksel tertentu. Dari hasil itu, aplikasi bisa tahu apakah titik itu kosong, berwarna, atau bagian dari angka. - Menyusun ulang hasilnya.
Ribuan data waktu render tadi dikumpulkan, lalu disusun jadi pola visual yang menyerupai tampilan asli. Dari sini, kode 2FA atau isi pesan bisa ditebak dengan cukup akurat.
Dalam uji coba di laboratorium, serangan ini berhasil mencuri kode 2FA enam digit dari Google Authenticator di Pixel 6 hingga Pixel 9, dengan tingkat keberhasilan antara 30 sampai 70 persen. Waktu yang dibutuhkan rata-rata 14 sampai 25 detik.
Namun di Samsung Galaxy S25, hasilnya lebih sulit karena sistem keamanan grafis bawaan Samsung menimbulkan gangguan tambahan.
Apa Kata Google?
Google sudah mengakui masalah ini dan merilis patch keamanan September 2025 (CVE-2025-48561) untuk menutup sebagian celahnya.
Tapi tim peneliti mengungkap bahwa versi modifikasi Pixnapping masih bisa menembus perlindungan tersebut. Karena itu, Google menjadwalkan patch tambahan di pembaruan Desember 2025.
Meski begitu, Google menegaskan bahwa belum ada laporan serangan nyata. Artinya, Pixnapping sejauh ini masih sebatas penelitian akademis. Tapi riset seperti ini sering jadi alarm dini sebelum celah serupa benar-benar dimanfaatkan penjahat siber.
Kenapa Ini Penting untuk Kamu
Banyak orang berpikir, selama tidak memberikan izin kamera, mikrofon, atau layar, maka datanya aman. Pixnapping membalik logika itu.
Ia menunjukkan bahwa bahkan tanpa izin sekalipun, data bisa bocor lewat cara yang tidak pernah terpikirkan.
Kalau teknik seperti ini dipakai secara luas, dampaknya bisa besar. Bayangkan kalau hacker berhasil mencuri kode login atau isi pesan dari aplikasi keuangan. Hanya butuh 30 detik, dan akun kamu bisa diambil alih tanpa jejak.
Lebih menakutkan lagi, serangan ini nyaris tidak bisa dideteksi pengguna. Tidak ada notifikasi, tidak ada tanda aneh di layar, dan tidak terasa apa-apa.
Cara Melindungi Diri
Untungnya, ada beberapa langkah mudah yang bisa kamu lakukan:
- Perbarui sistem Android secara rutin. Pastikan level patch keamanan sudah September 2025 atau lebih baru.
- Hindari aplikasi di luar Play Store. File APK dari internet sering jadi sumber utama malware.
- Gunakan verifikasi dua langkah berbasis perangkat. Pilih metode yang menggunakan notifikasi atau security key fisik, bukan angka di layar.
- Periksa izin overlay. Jika ada aplikasi yang sering muncul di atas aplikasi lain, cabut izinnya.
- Aktifkan Google Play Protect. Fitur ini bisa mendeteksi dan menghapus aplikasi berbahaya.
Selain itu, biasakan tidak membuka aplikasi sensitif (seperti Authenticator atau mobile banking) bersamaan dengan aplikasi lain yang tidak dikenal.
Wawasan Tambahan
Serangan seperti Pixnapping memperlihatkan bahwa keamanan digital sudah masuk ke level mikroskopis. Dulu hacker mencuri data lewat password dan link palsu. Sekarang mereka bisa menyerang lewat waktu kerja GPU dan warna piksel.
Para peneliti menyebut serangan ini sebagai “pintu masa depan” bagi eksploitasi baru. Karena itu, pabrikan chipset dan pengembang sistem operasi harus mulai memperkuat isolasi tampilan antar-aplikasi agar informasi visual tidak bisa diukur dari luar.
Bagi pengguna biasa, pelajarannya sederhana: update, waspada, dan jangan percaya aplikasi gratisan tanpa asal-usul jelas.
Kalau dulu yang penting antivirus, sekarang yang penting kesadaran.