Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- Pixnapping pode ser usado para roubar dados privados, incluindo códigos 2FA.
- O ataque de canal lateral abusa das APIs do Google Android para roubar dados em exibição.
- A falha foi parcialmente corrigida, embora uma correção mais completa esteja prevista para dezembro.
Um novo método de ataque demonstrado por pesquisadores pode levar ao roubo de códigos de autenticação de dois fatores (2FA) e muito mais em dispositivos Android.
Também: Este recurso fundamental do Android ‘absolutamente não’ irá desaparecer, diz o Google – mas está mudando
A técnica de ataque, detalhada em um artigo intitulado Pixnapping: tirando o roubo de pixels da Idade da Pedra (PDF), foi desenvolvido por pesquisadores da Universidade da Califórnia, Berkeley, San Diego, Washington e Carnegie Mellon.
Apelidado de “Pixnapping”, esse vetor de ataque começa quando uma vítima instala, sem saber, um aplicativo móvel malicioso em seu smartphone Android.
Notavelmente, o aplicativo não precisa abusar de permissões para realizar esse ataque, que explora APIs Android existentes, renderização de pixels e um canal lateral de hardware.
As etapas
Existem três etapas para o Pixnapping, assim chamado devido ao abuso de pixels renderizados por um aplicativo de destino, como o Google Authenticator. O primeiro estágio exige que o aplicativo malicioso invoque um aplicativo de destino e faça uma chamada de sistema para solicitar o envio de dados confidenciais ao pipeline de renderização do Android.
Também: O recurso de segurança mais poderoso do seu telefone Android está desativado por padrão e oculto – ative-o agora
No segundo estágio, este aplicativo induzirá operações gráficas (desfoque) lançando uma camada “semitransparente” em pixels sensíveis individuais renderizados pelo aplicativo de destino – como a parte de uma tela quando um aplicativo de autenticação renderiza caracteres 2FA. O mascaramento é então usado para isolar, ampliar e determinar a natureza gráfica dos pixels.
A terceira e última etapa exige o abuso de um canal lateral, GPU.Zip, para roubar os pixels em exibição, um por um. Em outras palavras, o aplicativo malicioso está pegando pixels para capturar uma forma de “captura de tela” de conteúdo ao qual não deveria ter acesso.
Quais são as consequências?
Este ataque pode levar ao roubo de informações visíveis, como mensagens privadas, códigos 2FA, conteúdo de e-mail aberto e muito mais.
Em relação ao 2FA, os experimentos para vazar 100 deles dentro da janela exigida de 30 segundos foram bem-sucedidos nos telefones Google Pixel, mas houve vários graus de sucesso na obtenção dos seis dígitos completos no Google Authenticator. No entanto, isso não teve sucesso em um Samsung Galaxy S25 “devido ao ruído significativo”.
Também: Este recurso silencioso do Android verifica suas fotos em busca de ‘conteúdo sensível’ – como desativá-lo
“Demonstramos ataques Pixnapping em telefones Google e Samsung e recuperação ponta a ponta de dados confidenciais de sites, incluindo Gmail e Contas do Google, e aplicativos, incluindo Signal, Google Authenticator, Venmo e Google Maps”, dizem os pesquisadores. “Notavelmente, nosso ataque contra o Google Authenticator permite que qualquer aplicativo malicioso roube códigos 2FA em menos de 30 segundos, enquanto esconde o ataque do usuário.”
Pixnapping foi realizado em cinco dispositivos rodando as versões 13 a 16 do Android: Google Pixel 6, Google Pixel 7, Google Pixel 8, Google Pixel 9 e Samsung Galaxy S25. No entanto, é possível que o Pixnapping possa impactar outros aparelhos, já que a equipe afirma que “os principais mecanismos que permitem o ataque estão normalmente disponíveis em todos os dispositivos Android”.
Esta falha de segurança foi corrigida?
A falha de segurança foi atribuída ao rastreador CVE-2025-48561. Um patch foi lançado (1, 2). A equipe diz que este patch mitiga o Pixnapping “ao limitar o número de atividades nas quais um aplicativo pode invocar o desfoque”, mas também diz que existe uma solução alternativa, e isso foi divulgado de forma privada ao Google.
Também: Como ativar o modo DNS privado do Android – e por que você deveria o mais rápido possível
Não se sabe se esta exploração está sendo usada em liberdade, embora o Google tenha dito O Registro não há evidências de campanhas ativas. Além disso, esta mitigação parcial será seguida por um patch adicional no boletim de segurança Android de dezembro da gigante da tecnologia.
Receba as principais notícias da manhã em sua caixa de entrada todos os dias com nosso Boletim informativo Tech Today.
