Uma nova e perigosa vulnerabilidade de segurança, apelidada de "Pixnapping", permite que uma aplicação maliciosa no Android consiga roubar dados sensíveis do ecrã de outras aplicações, mesmo sem ter qualquer permissão para o fazer. Imagine uma app que consegue, pixel a pixel, reconstruir o que está a ver no seu telemóvel, seja uma mensagem privada no Signal, um email no Gmail ou até os seus códigos de autenticação de dois fatores (2FA) do Google Authenticator.
O ataque, desenvolvido e demonstrado por uma equipa de sete investigadores de universidades americanas, funciona em telemóveis Android modernos e totalmente atualizados, sendo capaz de roubar um código 2FA em menos de 30 segundos. A Google tentou resolver o problema (identificado como CVE-2025-48561) na atualização de segurança de setembro, mas os investigadores conseguiram contornar a mitigação. Uma solução definitiva é agora esperada para a atualização de segurança de dezembro de 2025.
Como funciona o ataque Pixnapping?
O ataque pode ser conceptualmente entendido como se a aplicação maliciosa estivesse a tirar uma "fotografia" ao ecrã, mas de uma forma muito mais furtiva e pixel a pixel. O processo começa quando a app maliciosa abusa do sistema de "intents" do Android para iniciar a aplicação ou página web alvo.
De seguida, a aplicação atacante isola cada pixel do conteúdo que pretende roubar, como os dígitos de um código 2FA. Para o fazer, sobrepõe uma janela completamente branca, exceto por um único pixel transparente posicionado sobre o alvo. Através de uma peculiaridade no motor de composição do Android, o "SurfaceFlinger", e explorando uma falha de canal lateral na compressão de dados gráficos da GPU (conhecida como GPU.zip), a app maliciosa consegue "adivinhar" a cor de cada pixel, um a um.
Após recuperar todos os pixels, uma técnica semelhante a OCR (Reconhecimento Ótico de Caracteres) é utilizada para reconstruir a informação original. Embora a taxa de extração de dados seja relativamente baixa, entre 0,6 e 2,1 pixels por segundo, otimizações demonstradas pelos investigadores provam que é suficientemente rápida para roubar dados curtos, como códigos de autenticação, em menos de meio minuto. O processo é detalhado no site oficial Pixnapping.
Que equipamentos estão em risco?
Os investigadores demonstraram com sucesso o Pixnapping em dispositivos como o Google Pixel 6, 7, 8 e 9, bem como no Samsung Galaxy S25, com versões do Android entre a 13 e a 16. Dado que os mecanismos explorados existem em versões mais antigas do sistema operativo, é muito provável que a grande maioria dos telemóveis Android seja vulnerável.
A equipa analisou perto de 100.000 aplicações na Play Store e descobriu centenas de milhares de ações que podem ser invocadas através dos "intents" do Android, o que indica que a aplicabilidade do ataque é vasta. O ataque demonstrou ser eficaz mesmo com as proteções de ecrã do Signal ativadas.
Resposta da Google e o que esperar
A Google e a Samsung comprometeram-se a corrigir as falhas até ao final do ano. Após a tentativa de correção em setembro ter sido contornada, a Google desenvolveu uma solução mais robusta que deverá ser lançada com as atualizações de segurança de dezembro.
Em comunicado, a Google afirmou que a exploração desta técnica de fuga de dados exige informações muito específicas sobre o dispositivo alvo, o que, segundo a empresa, resulta numa baixa taxa de sucesso. As verificações atuais não encontraram quaisquer aplicações maliciosas na Google Play que explorem a vulnerabilidade Pixnapping. Ainda assim, os utilizadores devem manter os seus dispositivos Android atualizados e aguardar com expectativa pela correção definitiva em dezembro.
Nenhum comentário
Seja o primeiro!