Sebuah kerentanan Android yang baru ditemukan memungkinkan aplikasi berbahaya untuk mengakses konten yang ditampilkan oleh aplikasi lain. Ini berpotensi membahayakan recovery phrase crypto wallet, kode autentikasi dua faktor (2FA), dan lainnya.
Kerentanan yang dinamai Pixnapping ini digambarkan dalam makalah riset sebagai teknik yang “menerobos semua mitigasi browser, bahkan mampu menjarah rahasia dari aplikasi non-browser” Dengan memanfaatkan API Android, penyerang dapat menghitung isi piksel tertentu yang terpampang dari aplikasi lain.
Ini bukan perkara sesederhana aplikasi berbahaya meminta lalu mengakses konten tampilan dari aplikasi lain. Sebaliknya, aplikasi tersebut menumpuk serangkaian aktivitas semi-transparan yang dikendalikan penyerang untuk menutupi seluruh bagian layar kecuali satu piksel yang dipilih. Piksel itu kemudian dimanipulasi agar warnanya mendominasi frame.
Dengan mengulangi proses ini dan mengatur waktu render frame, malware dapat menginterpretasikan piksel-piksel tersebut guna merekonstruksi rahasia yang ditampilkan di layar. Untungnya, teknik ini memakan waktu, sehingga kegunaannya terbatas terhadap konten yang tidak ditampilkan lebih dari beberapa detik.
Seed Phrase dalam Bahaya
Salah satu jenis informasi yang sangat sensitif dan cenderung bertahan di layar lebih lama dari hanya beberapa detik adalah recovery phrase crypto wallet. Frasa tersebut memberikan akses penuh tanpa batas ke crypto wallet yang terhubung, sehingga pengguna diwajibkan untuk menuliskannya demi keamanan. Riset ini menguji serangan tersebut terhadap kode 2FA di perangkat Google Pixel:
“Serangan kami berhasil memulihkan kode 2FA 6-digit secara penuh dalam 73%, 53%, 29%, dan 53% dari percobaan pada Pixel 6, 7, 8, dan 9, masing-masing. Waktu rata-rata untuk memulihkan tiap kode 2FA adalah 14,3, 25,8, 24,9, dan 25,3 detik pada Pixel 6, Pixel 7, Pixel 8, dan Pixel 9, secara berurutan.”
Meski untuk menangkap recovery phrase 12 kata komplet akan memerlukan waktu yang jauh lebih lama, serangan ini tetap berpotensi berhasil jika pengguna membiarkan frasa tersebut terlihat di layar saat sedang menyalinnya.
Baca Juga: Jack Dorsey Desak Kebijakan Bebas Pajak buat Transaksi Bitcoin Skala Kecil
Tanggapan Google
Kerentanan ini diuji pada lima perangkat dengan Android versi 13 hingga 16: Google Pixel 6, Google Pixel 7, Google Pixel 8, Google Pixel 9, serta Samsung Galaxy S25. Para peneliti menyebutkan serangan serupa juga bisa dijalankan pada perangkat Android lainnya karena API yang dieksploitasi memang tersedia luas.
Awalnya, Google mencoba menambal celah tersebut dengan membatasi jumlah aktivitas aplikasi yang dapat diburamkan sekaligus. Namun, tim peneliti menemukan celah lain yang memungkinkan Pixnapping tetap bisa berfungsi.
“Per 13 Oktober, kami masih berkoordinasi dengan Google dan Samsung terkait garis waktu pengungkapan dan langkah mitigasi.”
Menurut laporan riset, Google menilai isu ini sebagai kerentanan dengan tingkat keparahan “tinggi” dan berkomitmen memberikan bug bounty kepada para peneliti. Tim juga sudah menghubungi Samsung untuk memperingatkan bahwa “patch dari Google belum memadai untuk melindungi perangkat Samsung”.
Baca Juga: Trader yang Kantongi Profit US$192 Juta dari Short Crash Crypto, Kini Berulah Lagi!
Hardware Wallet Tawarkan Perlindungan Aman
Langkah paling gamblang untuk mengatasi kerentanan ini adalah dengan tidak menampilkan recovery phrase ataupun informasi sensitif lain di perangkat Android. Lebih bijak lagi, hindari sepenuhnya menampilkannya di perangkat apa pun yang terhubung dengan internet.
Jalan keluarnya sederhana: gunakan hardware wallet. Perangkat ini dikhususkan untuk pengelolaan kunci, menandatangani transaksi secara eksternal dari komputer atau smartphone tanpa pernah mengekspos private key maupun recovery phrase. Seperti diungkap peneliti keamanan Vladimir S dalam unggahan X miliknya:
“Jangan pernah gunakan ponsel Anda untuk mengamankan kripto. Gunakan hardware wallet!”
Baca Juga: Altcoin Biasanya Ambruk Keras sebelum Altcoin Season, Akankah Sejarah Berulang?