Dispositivos Android estão vulneráveis a um novo ataque que pode furtivamente roubar códigos de autenticação de dois fatores, históricos de localização e outros dados privados em menos de 30 segundos. O novo ataque, denominado Pixnapping pela equipe de pesquisadores acadêmicos que o elaborou, requer que a vítima primeiro instale um aplicativo malicioso em um telefone ou tablet Android. O aplicativo, que não exige permissões do sistema, pode então efetivamente ler os dados que qualquer outro aplicativo instalado exibe na tela. O Pixnapping foi demonstrado em telefones Google Pixel e no telefone Samsung Galaxy S25 e provavelmente poderia ser modificado para funcionar em outros modelos com trabalho adicional. O Google lançou mitigação no mês passado, mas os pesquisadores afirmaram que uma versão modificada do ataque funciona mesmo quando a atualização está instalada.
Os ataques de Pixnapping começam com o aplicativo malicioso invocando interfaces de programação do Android que fazem com que o autenticador ou outros aplicativos-alvo enviem informações sensíveis para a tela do dispositivo. O aplicativo malicioso então executa operações gráficas em pixels individuais de interesse para o atacante. O Pixnapping então explora um canal lateral que permite ao aplicativo malicioso mapear os pixels nessas coordenadas para letras, números ou formas.
“Qualquer coisa que seja visível quando o aplicativo-alvo é aberto pode ser roubada pelo aplicativo malicioso usando o Pixnapping”, escreveram os pesquisadores em um site informativo. “Mensagens de chat, códigos de 2FA, mensagens de e-mail, etc. são todos vulneráveis, pois são visíveis. Se um aplicativo tem informações secretas que não são visíveis (por exemplo, tem uma chave secreta armazenada mas nunca mostrada na tela), essas informações não podem ser roubadas pelo Pixnapping.”
O novo tipo de ataque é reminiscente do GPU.zip, um ataque de 2023 que permitia que sites maliciosos lessem os nomes de usuário, senhas e outros dados visuais sensíveis exibidos por outros sites. Funcionava explorando canais laterais encontrados em GPUs de todos os principais fornecedores. As vulnerabilidades que o GPU.zip explorava nunca foram corrigidas. Em vez disso, o ataque foi bloqueado nos navegadores limitando sua capacidade de abrir iframes, um elemento HTML que permite que um site (no caso do GPU.zip, malicioso) incorpore o conteúdo de um site de um domínio diferente.
O Pixnapping visa o mesmo canal lateral que o GPU.zip, especificamente a quantidade precisa de tempo que leva para um determinado quadro ser renderizado na tela.
“Isto permite que um aplicativo malicioso roube informações sensíveis exibidas por outros aplicativos ou sites arbitrários, pixel por pixel”, explicou Alan Linghao Wang, autor principal do artigo de pesquisa “Pixnapping: Bringing Pixel Stealing out of the Stone Age”, em uma entrevista. “Conceptualmente, é como se o aplicativo malicioso estivesse tirando um screenshot de conteúdos na tela aos quais não deveria ter acesso. Nossos ataques de ponta a ponta simplesmente medem o tempo de renderização por quadro das operações gráficas para determinar se o pixel era branco ou não branco.”
O ataque ocorre em três etapas principais. Na primeira, o aplicativo malicioso invoca APIs do Android que fazem chamadas para o aplicativo que o atacante quer bisbilhotar. Essas chamadas também podem ser usadas para efetivamente escanear um dispositivo infectado em busca de aplicativos instalados de interesse. As chamadas ainda podem fazer com que o aplicativo-alvo exiba dados específicos aos quais tem acesso, como uma conversa de mensagem em um aplicativo de mensagens ou um código de 2FA para um site específico. Essa chamada faz com que as informações sejam enviadas para o pipeline de renderização do Android, o sistema que pega os pixels de cada aplicativo para que eles possam ser renderizados na tela. As chamadas específicas do Android incluem atividades, intenções e tarefas.
Na segunda etapa, o Pixnapping realiza operações gráficas em pixels individuais que o aplicativo-alvo enviou para o pipeline de renderização. Essas operações escolhem as coordenadas dos pixels-alvo que o aplicativo deseja roubar e começam a verificar se a cor dessas coordenadas é branca ou não branca, ou, mais geralmente, se a cor é c ou não c (para uma cor arbitrária c).
