Se ha descubierto que los dispositivos Android de Google y Samsung son vulnerables a un ataque de canal lateral que podría explotarse para robar de forma encubierta códigos de autenticación de dos factores (2FA), líneas de tiempo de Google Maps y otros datos confidenciales sin el conocimiento de los usuarios píxel por píxel.
El ataque tiene el nombre en clave Pixnapping por un grupo de académicos de la Universidad de California (Berkeley), la Universidad de Washington, la Universidad de California (San Diego) y la Universidad Carnegie Mellon.
Pixnapping, en esencia, es un marco de robo de píxeles dirigido a dispositivos Android de una manera que evita las mitigaciones del navegador e incluso extrae datos de aplicaciones que no son del navegador, como Google Authenticator, aprovechando las API de Android y un canal lateral de hardware, lo que permite que una aplicación maliciosa utilice la técnica como arma para capturar códigos 2FA en menos de 30 segundos.
«Nuestra observación clave es que las API de Android permiten a un atacante crear un análogo a [Paul] Ataques estilo piedra fuera del navegador», los investigadores dicho en un papel. «Específicamente, una aplicación maliciosa puede forzar a los píxeles de las víctimas a ingresar en el proceso de renderizado a través de intents de Android y calcular esos píxeles de las víctimas utilizando una pila de actividades de Android semitransparentes».
El estudio se centró específicamente en cinco dispositivos de Google y Samsung que ejecutan las versiones de Android 13 a 16, y aunque no está claro si los dispositivos Android de otros fabricantes de equipos originales (OEM) son susceptibles a Pixnapping, la metodología subyacente necesaria para realizar el ataque está presente en todos los dispositivos que ejecutan el sistema operativo móvil.
Lo que hace que el nuevo ataque sea significativo es que se puede usar cualquier aplicación de Android para ejecutarlo, incluso si la aplicación no tiene ningún permiso especial adjunto a través de su archivo de manifiesto. Sin embargo, el ataque presupone que se haya convencido a la víctima por otros medios para que instale y ejecute la aplicación.
El canal lateral que hace posible Pixnapping es GPU.zipque fue revelado por algunos de los mismos investigadores en septiembre de 2023. El ataque esencialmente aprovecha una función de compresión en las GPU integradas (iGPU) modernas para realizar ataques de robo de píxeles de origen cruzado en el navegador utilizando filtros SVG.
 |
| Descripción general de nuestro marco de robo de píxeles |
La última clase de ataque combina esto con la API de desenfoque de ventanas de Android para filtrar datos de representación y permitir el robo de las aplicaciones de las víctimas. Para lograr esto, se utiliza una aplicación de Android maliciosa para enviar píxeles de la aplicación de la víctima al canal de renderizado y superponer actividades semitransparentes usando intenciones – un mecanismo de software de Android que permite la navegación entre aplicaciones y actividades.
En otras palabras, la idea es invocar una aplicación de destino que contiene información de interés (por ejemplo, códigos 2FA) y hacer que los datos se envíen para su procesamiento, después de lo cual la aplicación maliciosa instalada en el dispositivo aísla las coordenadas de un píxel de destino (es decir, los que contienen el código 2FA) e induce una pila de actividades semitransparentes para enmascarar, ampliar y transmitir ese píxel utilizando el canal lateral. Luego, este paso se repite para cada píxel enviado al canal de renderizado.
Los investigadores dijeron que Android es vulnerable a Pixnapping debido a una combinación de tres factores que permiten que una aplicación:
- Enviar las actividades de otra aplicación al proceso de renderizado de Android (por ejemplo, con intenciones)
- Inducir operaciones gráficas (por ejemplo, desenfoque) en píxeles mostrados por las actividades de otra aplicación
- Mida los efectos secundarios de las operaciones gráficas que dependen del color de los píxeles
Google está rastreando el problema con el identificador CVE CVE-2025-48561 (Puntuación CVSS: 5,5). El gigante tecnológico emitió parches para la vulnerabilidad como parte de su Boletín de seguridad de Android de septiembre de 2025con Google observando que: «Una aplicación que solicita muchísimos desenfoques: (1) permite el robo de píxeles midiendo cuánto tiempo lleva realizar un desenfoque en todas las ventanas, [and] (2) probablemente no sea muy válido de todos modos.»
Sin embargo, desde entonces ha salido a la luz que existe una solución alternativa que puede utilizarse para volver a habilitar Pixnapping. Se dice que la empresa está trabajando en una solución.
Además, el estudio encontró que, como consecuencia de este comportamiento, es posible que un atacante determine si una aplicación arbitraria está instalada en el dispositivo, eludiendo las restricciones. implementado desde Android 11 que impiden consultar la lista de todas las aplicaciones instaladas en el dispositivo de un usuario. La omisión de la lista de aplicaciones sigue sin parchearse y Google la marca como «no se solucionará».
«Al igual que los navegadores al principio, el diseño intencionalmente colaborativo y de múltiples actores de las capas de aplicaciones móviles hace que las restricciones obvias sean poco atractivas», concluyeron los investigadores.
«La estratificación de aplicaciones no va a desaparecer, y las aplicaciones en capas serían inútiles sin un estilo de restricción sin cookies de terceros. Una respuesta realista es hacer que los nuevos ataques sean tan poco atractivos como los antiguos: permitir que las aplicaciones sensibles opten por no participar y restringir las capacidades de medición del atacante para que cualquier prueba de concepto siga siendo solo eso».
Fuente