O ataque funciona, mas depende de muitos “ses” para alcançar seu objetivo corretamente

Ataques por canal lateral (side-channel) exploram tipos específicos de informação vazada por dispositivos de hardware, permitindo que invasores obtenham acesso não autorizado a dados sensíveis ou secretos. Felizmente, esses ataques são extremamente complexos de executar, e os fornecedores de software geralmente reagem rápido implementando contramedidas.

Pixnapping é uma nova classe de ataques por canal lateral descoberta que mira smartphones Android. O ataque, idealizado por pesquisadores, permitiria que um app malicioso vazasse informações secretas exibidas na tela do dispositivo — por exemplo, códigos de uso único (OTPs) ou outros valores sensíveis mostrados por apps ou sites.

Crucialmente, o usuário alvo precisa abrir manualmente o app malicioso. O Google já está trabalhando para mitigar o problema com várias atualizações do Android.

Segundo os pesquisadores, o Pixnapping explora APIs padrão do Android junto com uma falha de canal lateral no hardware que afeta quase todos os aparelhos Android modernos. O ataque foi demonstrado em vários aparelhos Google Pixel e no Samsung Galaxy S25, e os mecanismos centrais por trás da falha estão presentes em muitos outros modelos Android também.

A cadeia de ataque do Pixnapping inclui três passos principais. Primeiro, o usuário abre o app malicioso. Em seguida, o usuário é induzido a invocar um app alvo — por exemplo, o Google Authenticator — cujos “segredos” exibidos na tela o atacante quer capturar. Finalmente, o app malicioso executa uma sequência de operações gráficas contra o pipeline de renderização do Android, lendo pixels individuais renderizados pelo app alvo em posições específicas da tela para reconstruir os segredos exibidos.

O app explora um canal lateral conhecido (como “GPU.zip”) para inferir pixels relevantes da tela. O código malicioso realiza essa inferência repetidamente até reconstruir as porções necessárias do conteúdo exibido.

“Conceitualmente, é como se o app malicioso estivesse tirando uma captura de tela de conteúdos aos quais não deveria ter acesso”, explicam os pesquisadores.

O app Pixnapping não exige permissões especiais. Ele consegue forçar pixels sensíveis no pipeline de renderização ao sobrepor janelas semitransparentes sobre essas áreas. Medindo o tempo de renderização, o ataque determina se os pixels visados são claros ou escuros e usa essa informação para reconstruir o conteúdo na tela.

Segundo os pesquisadores, o Pixnapping pode ser usado para recuperar dados sensíveis de serviços web populares como Gmail e Google Accounts. Eles também testaram a técnica contra apps com forte reputação de segurança, incluindo Signal, Google Authenticator e Venmo, relatando conseguir recuperar códigos de autenticação de dois fatores do Google Authenticator em menos de 30 segundos.

Rastreada como CVE-2025-48561, a falha subjacente foi abordada pelo Google em um patch de segurança recente do Android. A equipe de pesquisa informou Google e Samsung que a correção inicial foi insuficiente, e o Google agora planeja emitir um patch adicional para Pixnapping no ciclo de atualizações do Android em dezembro. Não há relatos conhecidos de tentativas de exploração em ambiente real até o momento. Fornecedores de GPUs, porém, segundo reportes, ainda vêm se recusando a corrigir a questão de canal lateral conhecida como GPU.zip.

• Veja também: OpenAI não será mais obrigada a armazenar todos os registros de chats excluídos do ChatGPT após decisão judicial