Vulnerabilidade no Android permite roubar dados privados por meio de pixels da tela

Dispositivos Android estão vulneráveis a um novo tipo de ataque que pode capturar dados privados de forma furtiva em menos de 30 segundos.

Batizado de Pixnapping pela equipe acadêmica que o desenvolveu, o ataque exige que a vítima instale primeiro um aplicativo malicioso no celular ou tablet. O app, que não solicita permissões do sistema, consegue ler informações exibidas por outros aplicativos na tela do dispositivo. Ele foi demonstrado em aparelhos Google Pixel 6, 7, 8, 9 e Samsung Galaxy S25, e pode, com ajustes, ser adaptado para outros modelos.

O ataque ocorre quando o app malicioso acessa interfaces de programação do Android para induzir o aplicativo-alvo a enviar informações sensíveis para a tela. Em seguida, o Pixnapping analisa pixels específicos para mapear letras, números ou formas, possibilitando o roubo de mensagens, e-mails e códigos 2FA exibidos na tela. Informações secretas que nunca aparecem na interface, como chaves armazenadas, não podem ser capturadas pelo ataque.

Nos testes, o Pixnapping recuperou corretamente códigos 2FA de 6 dígitos em 73%, 53%, 29% e 53% das tentativas nos Pixel 6, 7, 8 e 9, respectivamente, com tempo médio de recuperação de 14,3, 25,8, 24,9 e 25,3 segundos. No Samsung Galaxy S25, a implementação não conseguiu capturar códigos 2FA em 30 segundos devido ao ruído.

A vulnerabilidade é rastreada como CVE-2025-48561. O Google liberou mitigações no mês passado, mas os pesquisadores afirmam que uma versão modificada do ataque ainda funciona mesmo com a atualização instalada. A empresa informou que emitirá um patch adicional no boletim de segurança do Android de dezembro e que não há evidências de exploração em ambiente real.