Investigadores académicos han revelado una nueva vulnerabilidad en Android llamada Pixnapping que permite a aplicaciones maliciosas robar códigos 2FA, mensajes privados y otros datos visibles sin necesidad de permisos. El ataque, que toma menos de 30 segundos, explota los tiempos de renderizado de pantalla y ha sido demostrado en teléfonos Google Pixel y el Samsung Galaxy S25. Google ha lanzado mitigaciones parciales, con parches adicionales planeados.
El ataque Pixnapping requiere que una víctima instale una aplicación maliciosa, que luego utiliza interfaces de programación de Android para activar aplicaciones objetivo y mostrar información sensible en la pantalla. Sin permisos especiales, la aplicación realiza operaciones gráficas en píxeles específicos y mide los tiempos de renderizado para reconstruir los datos píxel por píxel, actuando efectivamente como una captura de pantalla no autorizada.
"Cualquier cosa que sea visible cuando se abre la aplicación objetivo puede ser robada por la aplicación maliciosa usando Pixnapping", afirmaron los investigadores en su sitio web informativo. Esto incluye mensajes de chat, códigos 2FA y contenido de correo electrónico, pero no datos ocultos como claves secretas almacenadas.
El proceso se desarrolla en tres pasos: primero, la aplicación maliciosa invoca APIs como actividades, intenciones y tareas para escanear y abrir aplicaciones objetivo, enviando sus datos al pipeline de renderizado. Segundo, verifica los colores de píxeles en coordenadas elegidas, distinguiendo el blanco del no blanco superponiendo ventanas maliciosas. Tercero, combina mediciones de tiempo de renderizado para reconstruir la imagen.
Los investigadores probaron el ataque en teléfonos Google Pixel 6, 7, 8 y 9, recuperando con éxito códigos 2FA de 6 dígitos completos de Google Authenticator en el 73%, 53%, 29% y 53% de las pruebas, respectivamente, con un promedio de 14 a 26 segundos. Fue menos efectivo en el Samsung Galaxy S25 debido al ruido. El autor principal, Alan Linghao Wang, explicó: "Esto permite a una aplicación maliciosa robar información sensible mostrada por otras aplicaciones o sitios web arbitrarios, píxel por píxel".
Pixnapping recuerda al ataque GPU.zip de 2023, que utilizó canales laterales similares de GPU pero fue mitigado en navegadores. Google emitió un parche para CVE-2025-48561 en septiembre, abordando parcialmente el problema, con otro en diciembre. Un representante de Google señaló: "No hemos visto evidencia de explotación en el mundo real". La investigación destaca límites en el aislamiento de aplicaciones de Android, aunque los desafíos de implementación en el mundo real pueden reducir su practicidad.