- O Pixnapping pode roubar códigos 2FA e outros dados na tela em menos de 30 segundos sem permissão.
- Ele funciona abusando das APIs do Android e de um canal lateral da GPU para inferir pixels de outros aplicativos.
- Testado no Pixel 6-9 e no Galaxy S25; o patch inicial (CVE-2025-48561) não o bloqueia completamente.
- É recomendável usar FIDO2/WebAuthn, minimizar dados confidenciais na tela e evitar aplicativos de fontes duvidosas.
Uma equipe de pesquisadores revelou Pixnapping, uma Técnica de ataque contra celulares Android capaz de capturar o que é exibido na tela e extrair dados privados como códigos 2FA, mensagens ou localizações em questão de segundos e sem pedir permissão.
A chave é abusar de certas APIs do sistema e um Canal lateral da GPU para deduzir o conteúdo dos pixels que você vê; o processo é invisível e eficaz enquanto a informação permanece visível, enquanto Segredos não mostrados na tela não podem ser roubadosO Google introduziu mitigações associadas a CVE-2025-48561, mas os autores da descoberta demonstraram caminhos de evasão, e mais reforços são esperados no boletim de segurança do Android de dezembro.
O que é Pixnapping e por que é uma preocupação?
Nome combina “pixel” e “sequestro” porque o ataque literalmente faz um “sequestro de pixels” para reconstruir informações que aparecem em outros aplicativos. É uma evolução das técnicas de canal lateral usadas anos atrás em navegadores, agora adaptadas ao ecossistema Android moderno, com execução mais suave e silenciosa.
Como não requer licenças especiais, O Pixnapping evita defesas baseadas no modelo de permissão e opera quase invisivelmente, o que aumenta o risco para usuários e empresas que confiam parte de sua segurança no que aparece rapidamente na tela.
Como o ataque é executado
Em termos gerais, o aplicativo malicioso orquestra uma atividades sobrepostas e sincroniza a renderização para isolar áreas específicas da interface onde dados confidenciais são exibidos; em seguida, explora a diferença de tempo ao processar pixels para inferir seu valor (veja como Perfis de potência afetam FPS).
- Faz com que o aplicativo de destino exiba os dados (por exemplo, um código 2FA ou texto sensível).
- Oculta tudo, exceto a área de interesse e manipula o quadro de renderização para que um pixel “domine”.
- Interpreta os tempos de processamento da GPU (por exemplo, fenômeno do tipo GPU.zip) e reconstrói o conteúdo.
Com repetição e sincronização, o malware deduz caracteres e os remonta usando Técnicas de OCRA janela de tempo limita o ataque, mas se os dados permanecerem visíveis por alguns segundos, a recuperação é possível.
Escopo e dispositivos afetados
Os acadêmicos verificaram a técnica em Google Pixel 6, 7, 8 e 9 e no Samsung Galaxy S25, com as versões do Android 13 a 16. Como as APIs exploradas estão amplamente disponíveis, eles alertam que “quase todos os Androids modernos” pode ser suscetível.
Em testes com códigos TOTP, o ataque recuperou todo o código com taxas de aproximadamente 73%, 53%, 29% e 53% no Pixel 6, 7, 8 e 9, respectivamente, e em tempos médios próximos a 14,3s; 25,8s; 24,9s e 25,3s, permitindo que você se antecipe à expiração dos códigos temporários.
Quais dados podem cair
Mais códigos de autenticação (Google Authenticator), os pesquisadores mostraram a recuperação de informações de serviços como contas do Gmail e do Google, aplicativos de mensagens como o Signal, plataformas financeiras como o Venmo ou dados de localização de Google Maps, entre outros.
Eles também alertam sobre dados que permanecem na tela por períodos mais longos, como frases de recuperação de carteira ou chaves únicas; no entanto, elementos armazenados, mas não visíveis (por exemplo, uma chave secreta que nunca é mostrada) estão além do escopo do Pixnapping.
Resposta do Google e status do patch
A descoberta foi comunicada previamente ao Google, que classificou o problema como de alta gravidade e publicou uma mitigação inicial associada a CVE-2025-48561No entanto, os pesquisadores encontraram métodos para evitá-lo, então Um patch adicional foi prometido no boletim informativo de dezembro e a coordenação com o Google e a Samsung é mantida.
A situação atual sugere que um bloqueio definitivo exigirá uma revisão de como o Android lida com renderização e sobreposições entre aplicativos, já que o ataque explora justamente esses mecanismos internos.
Medidas de mitigação recomendadas
Para os usuários finais, é aconselhável reduzir a exposição de dados confidenciais na tela e optar por autenticação resistente a phishing e canais laterais, como FIDO2/WebAuthn com chaves de segurança, evitando depender exclusivamente de códigos TOTP sempre que possível.
- Mantenha o dispositivo atualizado e aplicar boletins de segurança assim que estiverem disponíveis.
- Evite instalar aplicativos de fontes não verificadas e revisar permissões e comportamento anômalo.
- Não mantenha frases de recuperação ou credenciais visíveis; prefira carteiras de hardware para guardar chaves.
- Bloqueie a tela rapidamente e limitar visualizações de conteúdo sensível.
Para as equipes de produto e desenvolvimento, é hora de revisar fluxos de autenticação e reduzir a superfície de exposição: minimizar o texto secreto na tela, introduzir proteções adicionais em visualizações críticas e avaliar a transição para métodos sem código baseado em hardware.
Embora o ataque exija que a informação seja visível, sua capacidade de operar sem permissão e em menos de meio minuto torna-o uma ameaça séria: uma técnica de canal lateral que tira proveito da Tempos de renderização da GPU para ler o que você vê na tela, com mitigações parciais hoje e uma correção mais profunda pendente.
Sou um entusiasta da tecnologia que transformou seus interesses “geek” em profissão. Passei mais de 10 anos da minha vida usando tecnologia de ponta e mexendo em todos os tipos de programas por pura curiosidade. Agora me especializei em informática e videogames. Isto porque há mais de 5 anos escrevo para diversos sites sobre tecnologia e videojogos, criando artigos que procuram dar-lhe a informação que necessita numa linguagem compreensível para todos.
Se você tiver alguma dúvida, meu conhecimento vai desde tudo relacionado ao sistema operacional Windows até Android para celulares. E meu compromisso é com você, estou sempre disposto a dedicar alguns minutos e te ajudar a resolver qualquer dúvida que você possa ter nesse mundo da internet.