Siga ZDNET: Agréganos como fuente preferida en Google.
Conclusiones clave de ZDNET
- Pixnapping podría usarse para robar datos privados, incluidos códigos 2FA.
- El ataque de canal lateral abusa de las API de Google Android para robar datos mostrados.
- El fallo está parcialmente parcheado, aunque en diciembre se espera una solución más completa.
Un nuevo método de ataque demostrado por los investigadores podría conducir al robo de códigos de autenticación de dos factores (2FA) y más Androide dispositivos.
La técnica de ataque, detallada en un artículo titulado Pixnapping: sacando el robo de píxeles de la Edad de Piedra (PDF), ha sido desarrollado por investigadores de la Universidad de California, Berkeley, San Diego, Washington y Carnegie Mellon.
Este vector de ataque, denominado «Pixnapping», comienza cuando una víctima, sin saberlo, instala una aplicación móvil maliciosa en su teléfono inteligente Android.
En particular, la aplicación no necesita abusar de los permisos para realizar este ataque, que explota las API de Android existentes, la representación de píxeles y un canal lateral de hardware.
los pasos
Hay tres pasos para Pixnapping, llamado así debido al abuso de píxeles renderizados por una aplicación de destino, como Autenticador de Google. La primera etapa requiere que la aplicación maliciosa invoque una aplicación de destino y realice una llamada al sistema para solicitar el envío de datos confidenciales al proceso de renderizado de Android.
En la segunda etapa, esta aplicación inducirá operaciones gráficas (desenfoque) lanzando una capa «semitransparente» en píxeles sensibles individuales representados por la aplicación de destino, como la parte de una pantalla cuando una aplicación de autenticación representa caracteres 2FA. Luego se utiliza el enmascaramiento para aislar, ampliar y determinar la naturaleza gráfica de los píxeles.
La tercera y última etapa requiere el abuso de un canal lateral, GPU.Zip, para robar los píxeles en pantalla, uno por uno. En otras palabras, la aplicación maliciosa toma píxeles para capturar una especie de «captura de pantalla» de contenido al que no debería tener acceso.
¿Cuáles son las consecuencias?
Este ataque podría provocar el robo de información visible, como mensajes privados, códigos 2FAabrir contenido de correo electrónico y más.
Con respecto a 2FA, los experimentos para filtrar 100 de ellos dentro de la ventana requerida de 30 segundos tuvieron éxito en los teléfonos Google Pixel, pero hubo diversos grados de éxito al capturar los seis dígitos completos dentro de Google Authenticator. Sin embargo, esto no tuvo éxito en un Samsung Galaxy S25 «debido al ruido significativo».
«Hemos demostrado ataques de Pixnapping en teléfonos Google y Samsung y recuperación de extremo a extremo de datos confidenciales de sitios web, incluidas cuentas de Gmail y Google, y aplicaciones, incluidas Signal, Google Authenticator, Venmo y Google Maps», dicen los investigadores. «En particular, nuestro ataque contra Google Authenticator permite que cualquier aplicación maliciosa robe códigos 2FA en menos de 30 segundos mientras oculta el ataque al usuario».
Pixnapping se realizó en cinco dispositivos con las versiones 13 a 16 de Android: Google Pixel 6, Google Pixel 7, Google Pixel 8, Google Píxel 9y Samsung Galaxy S25. Sin embargo, es posible que Pixnapping pueda afectar a otros teléfonos, ya que el equipo dice que «los mecanismos centrales que permiten el ataque suelen estar disponibles en todos los dispositivos Android».
¿Se ha solucionado este fallo de seguridad?
Al fallo de seguridad se le ha asignado el rastreador. CVE-2025-48561. Se ha emitido un parche (1, 2). El equipo dice que este parche mitiga el Pixnapping «al limitar la cantidad de actividades en las que una aplicación puede invocar el desenfoque», pero también dice que existe una solución alternativa, y esto se ha revelado de forma privada a Google.
También: Cómo activar el modo DNS privado de Android y por qué debería hacerlo lo antes posible
No se sabe si este exploit se está utilizando de forma natural, aunque Google lo informó. El Registro no hay evidencia de campañas activas. Además, a esta mitigación parcial le seguirá un parche adicional en el boletín de seguridad de Android de diciembre del gigante tecnológico.
Reciba las noticias más importantes de la mañana en su bandeja de entrada todos los días con nuestro Boletín Tech Today.
