Dispositivos Android estão vulneráveis a um novo ataque capaz de roubar silenciosamente códigos de autenticação em duas etapas (2FA), linhas do tempo de localização e outros dados privados em menos de 30 segundos.
Batizado de Pixnapping pelos pesquisadores acadêmicos que o desenvolveram, o ataque exige que a vítima instale um app malicioso no smartphone ou tablet Android.
Surpreendentemente, o aplicativo não requer permissões de sistema para funcionar.
Ele consegue ler os dados que qualquer outro app exibe na tela do dispositivo.
O Pixnapping foi testado com sucesso em celulares Google Pixel e Samsung Galaxy S25, e os pesquisadores indicam que pode ser adaptado para outros modelos mediante ajustes adicionais.
O Google lançou uma mitigação para essa vulnerabilidade no mês passado, porém, segundo os responsáveis pelo estudo, versões modificadas do ataque ainda funcionam mesmo com a atualização instalada.
## Como o Pixnapping funciona
O método lembra o ato de tirar uma screenshot, mas de forma muito mais furtiva.
O app malicioso invoca APIs do Android para forçar o aplicativo alvo a exibir informações sensíveis, como códigos 2FA ou mensagens, na tela do dispositivo.
Em seguida, o Pixnapping realiza operações gráficas pixel a pixel nesse conteúdo.
Explora-se aqui um side channel — uma vulnerabilidade que revela informações pela análise do tempo exato que um frame demora para ser renderizado na tela.
Com essa técnica, o app malicioso consegue mapear pixels específicos em letras, números ou formas.
Os pesquisadores explicam em seu site informativo que tudo o que estiver visível no app vítima pode ser roubado: mensagens de chat, códigos 2FA, e-mails e similares.
No entanto, dados secretos que não aparecem na tela (como chaves criptográficas armazenadas internamente) permanecem protegidos.
## Relação com ataques anteriores
O Pixnapping tem relação técnica com o ataque GPU.zip, descoberto em 2023, que permitia a sites maliciosos ler informações sensíveis exibidas por outros sites usando falhas em GPUs de todos os principais fornecedores.
Embora as vulnerabilidades do GPU.zip nunca tenham sido corrigidas, o ataque foi neutralizado em navegadores ao restringir o uso do elemento HTML iframe, impedindo a execução de conteúdo externo malicioso embutido.
O Pixnapping mira o mesmo side channel explorado pelo GPU.zip, analisando o tempo de renderização dos frames em nível de pixel para acessar informações protegidas.
## Detalhamento do ataque em três etapas
1.
**Invocação das APIs**: O app malicioso chama APIs específicas do Android — como activities, intents e tasks — para solicitar que o app alvo exiba dados de interesse, como diálogos ou códigos de autenticação.
Essa etapa também permite identificar quais apps estão instalados no dispositivo infectado.
2.
**Operações pixel a pixel**: O Pixnapping executa operações gráficas nos pixels correspondentes aos dados exibidos pelo app vítima.
O ataque verifica se a cor de cada pixel é branca ou não, ou, mais genericamente, se é de uma determinada cor c ou não, possibilitando reconstruir o conteúdo visual pixel a pixel.
3.
**Reconstrução dos dados roubados**: A partir da análise detalhada da renderização, o app malicioso consegue montar o texto e outras informações sensíveis exibidas na tela, praticamente como se tirasse uma screenshot, mas sem precisar dessa permissão.
Esse avanço demonstra como vulnerabilidades sofisticadas em sistemas gráficos ainda representam riscos reais para a segurança da informação em dispositivos móveis, mesmo diante de atualizações e patches recentes.
Fica claro que a segurança deve ser constantemente reavaliada para barrar ataques cada vez mais criativos.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...