- Pixnapping pode roubar códigos 2FA e outros datos en pantalla en menos de 30 segundos sen permiso.
- Funciona abusando das API de Android e dun canal lateral da GPU para inferir píxeles doutras aplicacións.
- Probado en Pixel 6-9 e Galaxy S25; o parche inicial (CVE-2025-48561) non o bloquea por completo.
- Recoméndase usar FIDO2/WebAuthn, minimizar os datos confidenciais na pantalla e evitar aplicacións de fontes dubidosas.
Un equipo de investigadores revelou Pixnapping, unha Técnica de ataque contra teléfonos Android capaz de capturar o que se mostra na pantalla e extraer datos privados como códigos 2FA, mensaxes ou localizacións en segundos e sen pedir permiso.
A clave está en abusar de certas API do sistema e Canle lateral da GPU para deducir o contido dos píxeles que ves; o proceso é invisible e efectivo mentres a información permaneza visible, mentres Os segredos que non se mostran na pantalla non se poden roubarGoogle introduciu mitigacións asociadas con CVE-2025-48561, pero os autores do descubrimento demostraron vías de evasión e espérase un maior reforzo no boletín de seguridade de Android de decembro.
Que é Pixnapping e por que é preocupante?
O nome combina «píxel» e «secuestro» porque o ataque literalmente fai un "secuestro de píxeles" para reconstruír información que aparece noutras aplicacións. É unha evolución das técnicas de canle lateral empregadas hai anos nos navegadores, agora adaptadas ao ecosistema Android moderno cunha execución máis suave e silenciosa.
Dado que non require permisos especiais, Pixnapping evita defensas baseadas no modelo de permisos e funciona case invisiblemente, o que aumenta o risco para os usuarios e as empresas que dependen parte da súa seguridade do que aparece fugazmente na pantalla.
Como se executa o ataque
En termos xerais, a aplicación maliciosa orquestra unha actividades superpostas e sincroniza a renderización para illar áreas específicas da interface onde se mostran datos confidenciais; despois aproveita a diferenza de tempo ao procesar píxeles para inferir o seu valor (consulta como Os perfís de potencia afectan os FPS).
- Fai que a aplicación de destino mostre os datos (por exemplo, un código 2FA ou texto confidencial).
- Oculta todo agás a área de interese e manipula o fotograma de renderización para que un píxel "domine".
- Interpreta os tempos de procesamento da GPU (por exemplo, fenómeno de tipo GPU.zip) e reconstrúe o contido.
Con repetición e sincronización, o malware deduce caracteres e os reensambla usando Técnicas de OCRA xanela de tempo limita o ataque, pero se os datos permanecen visibles durante uns segundos, a recuperación é posible.
Ámbito e dispositivos afectados
Os académicos verificaron a técnica en Google Pixel 6, 7, 8 e 9 e no Samsung Galaxy S25, coas versións de Android 13 a 16. Dado que as API explotadas están amplamente dispoñibles, advirten que "case todos os androides modernos" podería ser susceptible.
En probas con códigos TOTP, o ataque recuperou o código completo con taxas de aproximadamente 73 %, 53 %, 29 % e 53 % en Pixel 6, 7, 8 e 9, respectivamente, e en tempos medios próximos a 14,3 s; 25,8 s; 24,9 s e 25,3 s, o que che permite adiantarte á caducidade dos códigos temporais.
Que datos poden caer
Ademais de códigos de autenticación (Google Authenticator), os investigadores demostraron a recuperación de información de servizos como Gmail e contas de Google, aplicacións de mensaxería como Signal, plataformas financeiras como Venmo ou datos de localización de Mapas de Googleentre outros.
Tamén che avisan sobre os datos que permanecen na pantalla durante períodos de tempo máis longos, como frases de recuperación de carteira ou claves dun só uso; non obstante, os elementos almacenados pero non visibles (por exemplo, unha clave secreta que nunca se mostra) están fóra do alcance de Pixnapping.
Resposta de Google e estado do parche
O achado foi comunicado con antelación a Google, que cualificou o problema como de alta gravidade e publicou unha mitigación inicial asociada con CVE-2025-48561Non obstante, os investigadores atoparon métodos para evitalo, polo que Prometéuse un parche adicional no boletín de decembro e mantense a coordinación con Google e Samsung.
A situación actual suxire que un bloqueo definitivo requirirá unha revisión de como Android manexa renderización e superposicións entre aplicacións, xa que o ataque explota precisamente eses mecanismos internos.
Medidas de mitigación recomendadas
Para os usuarios finais, é aconsellable reducir a exposición de datos sensibles na pantalla e optar por unha autenticación resistente ao phishing e canles secundarias, como FIDO2/WebAuthn con claves de seguranza, evitando depender exclusivamente dos códigos TOTP sempre que sexa posible.
- Mantén o dispositivo actualizado e aplicar os boletíns de seguridade en canto estean dispoñibles.
- Evita instalar aplicacións desde fontes non verificadas e revisar os permisos e o comportamento anómalo.
- Non manteñas frases de recuperación nin credenciais visibles; prefire carteiras de hardware para gardar as chaves.
- Bloquear a pantalla rapidamente e limitar as vistas previas de contido confidencial.
Para os equipos de produto e desenvolvemento, é hora de revisar os fluxos de autenticación e reducir a superficie de exposición: minimizar o texto secreto na pantalla, introducir proteccións adicionais en vistas críticas e avaliar a transición a métodos sen código baseado en hardware.
Aínda que o ataque require que a información sexa visible, a súa capacidade para operar sen permiso e en menos de medio minuto convérteo nunha ameaza seria: unha técnica de canle lateral que aproveita o Tempos de renderización da GPU para ler o que ves na pantalla, con mitigacións parciais hoxe e unha solución máis profunda pendente.
Son un entusiasta da tecnoloxía que converteu os seus intereses "friki" nunha profesión. Levo máis de 10 anos da miña vida empregando tecnoloxía de punta e retocando todo tipo de programas por pura curiosidade. Agora especializeime en tecnoloxía informática e videoxogos. Isto débese a que dende hai máis de 5 anos levo escribindo para diversas webs sobre tecnoloxía e videoxogos, creando artigos que buscan darche a información que necesitas nun idioma comprensible para todos.
Se tes algunha dúbida, os meus coñecementos abarcan dende todo o relacionado co sistema operativo Windows e tamén con Android para teléfonos móbiles. E o meu compromiso é contigo, sempre estou disposto a dedicar uns minutos e axudarche a resolver calquera dúbida que teñas neste mundo de internet.