Pesquisadores acadêmicos revelaram uma nova vulnerabilidade no Android chamada Pixnapping que permite que aplicativos maliciosos roubem códigos 2FA, mensagens privadas e outros dados visíveis sem precisar de permissões. O ataque, que leva menos de 30 segundos, explora tempos de renderização de tela e foi demonstrado em telefones Google Pixel e no Samsung Galaxy S25. O Google lançou mitigações parciais, com patches adicionais planejados.
O ataque Pixnapping requer que uma vítima instale um aplicativo malicioso, que então usa interfaces de programação do Android para acionar aplicativos alvo a exibir informações sensíveis na tela. Sem permissões especiais, o aplicativo realiza operações gráficas em pixels específicos e mede tempos de renderização para reconstruir os dados pixel por pixel, atuando efetivamente como uma captura de tela não autorizada.
"Qualquer coisa visível quando o aplicativo alvo é aberto pode ser roubada pelo aplicativo malicioso usando Pixnapping," afirmaram os pesquisadores em seu site informativo. Isso inclui mensagens de chat, códigos 2FA e conteúdo de e-mail, mas não dados ocultos como chaves secretas armazenadas.
O processo se desenrola em três etapas: primeiro, o aplicativo malicioso invoca APIs como atividades, intents e tarefas para escanear e abrir aplicativos alvo, enviando seus dados para o pipeline de renderização. Segundo, ele verifica cores de pixels em coordenadas escolhidas, distinguindo branco de não-branco sobrepondo janelas maliciosas. Terceiro, combina medições de tempo de renderização para reconstruir a imagem.
Pesquisadores testaram o ataque em telefones Google Pixel 6, 7, 8 e 9, recuperando com sucesso códigos 2FA de 6 dígitos completos do Google Authenticator em 73%, 53%, 29% e 53% dos testes, respectivamente, com média de 14 a 26 segundos. Foi menos eficaz no Samsung Galaxy S25 devido ao ruído. O autor principal, Alan Linghao Wang, explicou: "Isso permite que um aplicativo malicioso roube informações sensíveis exibidas por outros aplicativos ou sites arbitrários, pixel por pixel."
Pixnapping ecoa o ataque GPU.zip de 2023, que usou canais laterais de GPU semelhantes, mas foi mitigado em navegadores. O Google emitiu um patch para CVE-2025-48561 em setembro, abordando parcialmente o problema, com outro em dezembro. Um representante do Google observou: "Não vimos evidências de exploração no mundo real." A pesquisa destaca limites no isolamento de aplicativos do Android, embora desafios de implementação no mundo real possam reduzir sua praticidade.