Pesquisadores expõem falha crítica no Android que permite que aplicativos roubem dados confidenciais

gurinho

O que aconteceu: Pesquisadores de segurança reviveram uma técnica de roubo de dados baseada em navegador de 12 anos para atingir dispositivos Android , criando um novo e poderoso ataque chamado Pixnapping.

  • O método permite que um aplicativo Android malicioso roube dados exibidos em outros aplicativos ou sites — incluindo informações confidenciais do Google Maps , Gmail, Signal, Venmo e até códigos 2FA do Google Authenticator — sem exigir permissões especiais.
  • O pixnapping funciona explorando um canal lateral de hardware (GPU.zip) para ler dados de pixels da tela por meio de medições de tempo de renderização. Ao sobrepor atividades transparentes e cronometrar a velocidade de renderização dos pixels, os invasores podem reconstruir o conteúdo da tela pixel por pixel. Embora a técnica vaze apenas 0,6 a 2,1 pixels por segundo, é suficiente para recuperar dados confidenciais, como códigos de autenticação.
  • A vulnerabilidade, CVE-2025-48561, afeta dispositivos com Android 13 a 16 (incluindo Pixel 6–9 e Galaxy S25). Um patch parcial foi lançado em setembro de 2025, com uma correção mais abrangente prevista para dezembro.
Escudo de segurança no telefone Android.
Clker-Imagens-Vetoriais-Livres / Pixabay

Por que isso é importante: O Pixnapping expõe uma falha fundamental na renderização e na arquitetura de GPU do Android, demonstrando que mesmo ataques há muito resolvidos podem ressurgir em novas formas.

  • Como não requer permissões especiais, um aplicativo aparentemente inofensivo baixado da Google Play Store pode espionar secretamente dados confidenciais na tela.
  • O ataque também destaca um problema mais amplo com vulnerabilidades de canal lateral — vazamentos causados ​​não por bugs de software, mas pela forma como o hardware processa os dados.
  • Eles são notoriamente difíceis de detectar e corrigir, o que representa desafios constantes para a segurança móvel.
Telefone Android Realme GT 6 na cor prata segurado na mão em frente a uma folha e uma parede off-white.
Tushar Mehta / Tendências Digitais

Por que eu deveria me importar: se você usa Android, esta pesquisa ressalta o potencial de roubo oculto de dados sem qualquer ação ou aviso do usuário.

  • Os aplicativos podem coletar silenciosamente detalhes confidenciais, como informações bancárias, códigos 2FA ou dados de localização, simplesmente observando sua atividade na tela.
  • Embora o Google diga que não há evidências de exploração, a mera existência desse ataque mostra que o malware pode contornar as defesas de segurança tradicionais.

O que vem a seguir: O Google está lançando novas correções para limitar o abuso da API de desfoque e melhorar a detecção. No entanto, pesquisadores alertam que já existem soluções alternativas e que a vulnerabilidade GPU.zip subjacente permanece sem solução. Até que uma solução permanente seja encontrada, os usuários devem limitar a instalação de aplicativos não confiáveis ​​e manter os dispositivos atualizados. Especialistas em segurança também esperam que mais ataques de canal lateral, como o Pixnapping, surjam à medida que os invasores aprimoram essas técnicas sofisticadas.