- Pixnapping pot robar codis 2FA i altres dades mostrades a la pantalla en menys de 30 segons sense permisos.
- Funciona abusant d'API d'Android i un canal lateral de la GPU per inferir píxels d'altres aplicacions.
- Provat a Pixel 6-9 i Galaxy S25; el pegat inicial (CVE-2025-48561) no el bloqueja del tot.
- Es recomana utilitzar FIDO2/WebAuthn, minimitzar dades sensibles a la pantalla i evitar apps de fonts dubtoses.
Un equip de recerca ha revelat Pixnapping, Una tècnica d'atac contra mòbils Android capaç de capturar el que es mostra a la pantalla i extreure dades privades com a codis 2FA, missatges o ubicacions en qüestió de segons i sense sol·licitar permisos.
La clau és abusar de certes API del sistema i d'un canal lateral de la GPU per deduir el contingut dels píxels que veus; el procés passa desapercebut i resulta eficaç sempre que la informació romangui visible, mentre que secrets no mostrats a la pantalla no poden ser robats. Google ha introduït mitigacions associades a CVE-2025-48561, però els autors de la troballa han demostrat vies d'evasió i s'espera un reforç addicional al butlletí de seguretat d'Android de desembre.
Què és Pixnapping i per què preocupa
el nom combina píxel i kidnapping perquè l'atac fa, literalment, un “segrest de píxels” per reconstruir la informació que apareix en altres aplicacions. És una evolució de tècniques de canal lateral utilitzades fa anys en navegadors, ara adaptades a l'ecosistema Android modern amb una execució més fina i silenciosa.
En no requerir permisos especials, Pixnapping evita les defenses basades en el model de permisos i opera de forma gairebé invisible, cosa que incrementa el risc per a usuaris i empreses que confien part de la seva seguretat al que apareix fugaçment a la pantalla.
Com s'executa l'atac
En línies generals, l'app maliciosa orquestra una superposició d'activitats i sincronitza el renderitzat per aïllar zones concretes de la interfície on es mostren dades sensibles; després, explota la diferència de temps en processar píxels per inferir-ne el valor (vegeu com perfils denergia afecten FPS).
- Provoca que l'app objectiu mostri la dada (per exemple, un codi 2FA o un text sensible).
- Oculta tot menys l'àrea d'interès i manipula el marc de renderització perquè un píxel predomini.
- Interpreta temps de processament de la GPU (p. ex., fenomen tipus GPU.zip) i reconstrueix el contingut.
Amb repetició i sincronia, el malware dedueix caràcters i els recompon mitjançant tècniques de OCR; la finestra temporal limita l'atac, però si la dada és visible uns segons, la recuperació és viable.
Abast i dispositius afectats
Els acadèmics van verificar la tècnica en Google Pixel 6, 7, 8 i 9 i en el Samsung Galaxy S25, amb versions d'Android de la 13 a la 16. Atès que les APIs explotades estan àmpliament disponibles, adverteixen que “gairebé tots els Android moderns” podrien ser susceptibles.
En proves amb codis TOTP, l'atac va recuperar el codi complet amb taxes aproximades del 73%, 53%, 29% i 53% a Pixel 6, 7, 8 i 9, respectivament, i en temps mitjans propers a 14,3 s; 25,8 s; 24,9 si 25,3 s, cosa que us permet avançar-vos al venciment dels codis temporals.
Quines dades poden caure
A més codis d'autenticació (Google Authenticator), els investigadors van mostrar recuperació d'informació de serveis com Gmail i comptes de Google, apps de missatgeria com Signal, plataformes financeres com Venmo o dades d'ubicació de Google Maps, entre d'altres.
També alerten sobre dades que romanen en pantalla per més temps, com frases de recuperació de bitlleteres o claus puntuals; en canvi, elements emmagatzemats però no visibles (p. ex., una clau secreta que mai no es mostra) queden fora de l'abast de Pixnapping.
Resposta de Google i estat del pegat
La troballa va ser comunicada amb antelació a Google, que va etiquetar el problema com d'alta gravetat i va publicar una mitigació inicial associada a CVE-2025-48561. Tot i això, els investigadors van trobar mètodes per evadir-la, per la qual cosa s'ha promès un pegat addicional al butlletí de desembre i es manté la coordinació amb Google i Samsung.
La situació actual suggereix que el bloqueig definitiu exigirà revisar com Android gestiona el renderitzat i les superposicions entre aplicacions, ja que l'atac explota precisament aquests mecanismes interns.
Mesures de mitigació recomanades
Per a usuaris finals, convé reduir l'exposició de dades sensibles a la pantalla i optar per autenticació resistent a phishing i canals laterals, com ara FIDO2/WebAuthn amb claus de seguretat, evitant dependre exclusivament de codis TOTP quan sigui possible.
- Mantenir el dispositiu actualitzat i aplicar els butlletins de seguretat quan estiguin disponibles.
- Evitar instal·lar apps de fonts no verificades i revisar permisos i comportaments anòmals.
- No mantenir visibles frases de recuperació ni credencials; preferir bitlleteres de maquinari per custodiar claus.
- Bloquejar la pantalla ràpidament i limitar previsualitzacions de contingut sensible.
Per a equips de producte i desenvolupament, és moment de revisar fluxos d'autenticació i reduir superfície d'exposició: minimitzar text secret a la pantalla, introduir proteccions addicionals en vistes crítiques i avaluar la transició a mètodes sense codis basats en maquinari.
Tot i que l'atac requereix que la informació estigui visible, la seva capacitat per operar sense permisos i en menys de mig minut el converteix en una amenaça seriosa: una tècnica de canal lateral que aprofita els temps de renderitzat de la GPU per llegir allò que veus a la pantalla, amb mitigacions parcials avui i un arranjament més profund pendent.
Sóc un apassionat de la tecnologia que ha convertit els seus interessos frikis en professió. Porto més de 10 anys de la meva vida utilitzant tecnologia d'avantguarda i traslladant tota mena de programes per pura curiositat. Ara he especialitzat en tecnologia d'ordinador i videojocs. Això és perquè des de fa més de 5 anys que treballo redactant per a diverses webs en matèria de tecnologia i videojocs, creant articles que busquen donar-te la informació que necessites amb un llenguatge comprensible per tothom.
Si tens qualsevol pregunta, els meus coneixements van des de tot allò relacionat amb el sistema operatiu Windows així com Android per a mòbils. I és que el meu compromís és amb tu, sempre estic disposat a dedicar-te uns minuts i ajudar-te a resoldre qualsevol dubte que tinguis a aquest món d'internet.