Pixnapping: novo ataque side-channel rouba códigos 2FA em Android

Comente! , ,

Pesquisadores de universidades dos EUA — incluindo instituições da Califórnia e de Washington — identificaram um ataque sofisticado e inesperado chamado Pixnapping. A ameaça mira smartphones Android (modelos Google e Samsung testados entre as versões Android 13 e 16) e consegue capturar códigos de autenticação em dois fatores (2FA) e espionar o que aparece na tela — tudo sem permissões especiais. O bug já recebeu a identificação CVE-2025-48561 e o Google liberou um patch que limita o uso do efeito de desfoque entre apps, neutralizando a técnica em atualizações recentes do Android.

O que é Pixnapping

Pixnapping é um ataque do tipo side-channel que “rouba pixels” da tela do aparelho para reconstruir informações sensíveis exibidas por outros apps — por exemplo, o código do Google Authenticator. Diferente de malware comum que exige permissões invasivas, este método funciona a partir de um app aparentemente inocente instalado pelo usuário (um app de lanterna, leitor de QR code, etc.). Depois que o app malicioso roda, ele explora subtilezas do pipeline gráfico e da GPU para inferir os pixels originais, mesmo quando o sistema aplica efeitos como desfoque.

Como o ataque opera

  1. O usuário instala e executa um app que parece legítimo.

  2. O app malicioso “corrompe” ou interage com um app alvo (por exemplo, Google Authenticator ou Maps) via mecanismos gráficos permitidos pelo sistema.

  3. A tela do app alvo é processada pelo pipeline de desenho do Android; o sistema aplica um efeito de desfoque em áreas sensíveis.

  4. O malware mede tempos e padrões de compressão/processamento na GPU integrada (explorando uma técnica derivada da chamada falha GPU.zip).

  5. A partir dessas medições temporais, o atacante reconstrói as cores e valores dos pixels originais, revelando conteúdos como códigos 2FA, informações visíveis na tela e até dados de localização.

  6. Com os códigos em mãos, invasores podem acessar contas protegidas por autenticação de dois fatores e espionar a vítima em tempo real.

 

  • Não exige permissões especiais: o app malicioso não precisa pedir acesso a SMS, notificações ou root — basta ser instalado.

  • Funciona contra apps que à primeira vista parecem seguros, já que o ataque explora o pipeline gráfico e não vulnerabilidades de API explícitas.

  • É um ataque físico/temporal: usa medições finas da GPU e do processamento para inferir pixels — técnica não trivial e difícil de detectar por antivírus comuns.

 

Os testes mostraram vulnerabilidade em pelo menos cinco aparelhos Google e Samsung rodando Android 13–16, mas os pesquisadores apontam que a metodologia existe em muitos dispositivos Android. O Google respondeu com correções que limitam como o efeito de desfoque pode ser aplicado entre processos, neutralizando o vetor principal do Pixnapping.
Recomendações práticas imediatas: manter o Android atualizado assim que o patch chegar ao seu aparelho; instalar aplicativos apenas de fontes confiáveis; evitar instalar apps desconhecidos mesmo quando parecem inofensivos.

Resumo rápido

Pixnapping é uma nova forma de espionagem que captura pixels da tela via técnicas side-channel na GPU, permitindo roubo de códigos 2FA e dados exibidos em apps. Identificada como CVE-2025-48561, a falha foi corrigida pelo Google — atualize seu Android e evite instalar apps suspeitos.

Artigos relacionados