In Android ungefixter CVE-2025-48561 (relevant für 2FA-Apps)

[Dwain Zwerg]

Pixnapping Attack

www.pixnapping.com

CVE-2025-48561 - GitHub Advisory Database

In multiple locations, there is a possible way to access...

github.com

• Einen Fix hat Google bereits geschrieben, gedenkt den wegen ihrer neuen Security-Strategie (bereits hier & hier andiskutiert) allerdings erst im Dezember in AOSP zu veröffentlichen
• Die 2FA-App von 979 (OpenSource, auch bei Accrescent) hat bereits selbst einen Fix veröffentlicht, um das Problem zu beheben:
  https://bsky.app/profile/979.st%2Fpost%2F3m3fgbyj5ss2e
  URL: https://bsky.app/profile/979.st/post/3m3fgbyj5ss2e
  
• Bei Aegis ist der issue seit 16.10.2025 offen, wurde bisher aber noch nicht angefangen zu bearbeiten.
• FreeOTP hat weder Fix noch issue.
• Andere Lösungen habe ich nicht überprüft.

 

[nau]

Also wenn ich das auf der Seite richtig lese muss dafür eine App installiert sein die die vulnerability ausnutzt und 2FA im Hintergrund aktiv sein. Da ich die Apps immer schließe und im Allgemein sehr sparsam mit Apps umgehe (nur die nötigsten ansonsten alles über web) sollte das kein Thema darstellen (bei mir).