• Los atacantes pueden robar códigos 2FA y mensajes privados de aplicaciones en Android.
  • El ataque 'Pixnapping' no requiere permisos del sistema y funciona leyendo la información mostrada en pantalla.
  • Google ha lanzado parches, pero una versión modificada del ataque podría seguir funcionando.

Una nueva amenaza de seguridad, bautizada como 'Pixnapping', pone en riesgo la información sensible de los usuarios de Android. Investigadores académicos han desarrollado un método que permite a los ciberdelincuentes robar códigos de autenticación de dos factores (2FA), historiales de ubicación y otros datos privados de dispositivos Android en un tiempo récord de menos de 30 segundos. Lo más preocupante es que la aplicación maliciosa necesaria para llevar a cabo este ataque no requiere ningún permiso especial del sistema, lo que facilita su distribución e instalación sin levantar sospechas.

El funcionamiento de 'Pixnapping' se basa en la explotación de un canal lateral que permite a la aplicación maliciosa leer datos directamente de la pantalla. Los investigadores demostraron la efectividad del ataque en teléfonos Google Pixel y en el Samsung Galaxy S25, sugiriendo que podría adaptarse a otros modelos con trabajo adicional. Aunque Google lanzó mitigaciones en septiembre, los creadores del ataque afirman que una versión modificada sigue siendo funcional incluso con las actualizaciones instaladas. El ataque recuerda a 'GPU.zip', una vulnerabilidad de 2023 que permitía a sitios web maliciosos leer datos visuales de otras páginas, explotando canales laterales en las GPUs. 'Pixnapping' se enfoca en el tiempo de renderizado de cada fotograma para reconstruir la información pixel a pixel.

El proceso de 'Pixnapping' se divide en tres fases. Primero, la aplicación maliciosa invoca APIs de Android para interactuar con la aplicación objetivo y forzarla a mostrar información sensible, como un hilo de mensajes o un código 2FA. Esta información se envía al sistema de renderizado de Android. En la segunda fase, la aplicación maliciosa realiza operaciones gráficas sobre píxeles específicos, identificando si un área determinada de la pantalla está en blanco o contiene información. Finalmente, la tercera fase mide el tiempo de renderizado en cada coordenada para reconstruir la imagen completa. Los investigadores lograron robar códigos 2FA de Google Authenticator en un porcentaje significativo de intentos, aunque con tiempos variables según el modelo de teléfono. Google ha confirmado la emisión de parches y está trabajando en una solución adicional, asegurando no tener constancia de explotación en el mundo real.