Resumo
- O Pixnapping é um método de ataque em que um malware lê pixels da tela do Android, permitindo a extração de informações como códigos de autenticação e mensagens.
- A vulnerabilidade afeta smartphones com Android 13 a 16.
- O Google mitigou parcialmente a falha em setembro de 2025 e planeja uma correção adicional em dezembro.
Uma vulnerabilidade do Android pode abrir caminho para agentes mal-intencionados obterem informações exibidas na tela do sistema. Com isso, informações como códigos de autenticação em dois fatores, mensagens e e-mails podem ser expostas.
A falha foi descoberta por pesquisadores de quatro universidades dos Estados Unidos. Ela recebeu o nome de Pixnapping — o “Pix” aqui não tem a ver com nosso sistema de pagamentos, e sim com os pixels que são roubados na ação.
Como o Pixnapping funciona?
Na prática, o Pixnapping é basicamente um aplicativo malicioso que captura imagens da tela do Android e as envia para um servidor externo. A parte técnica, porém, é muito mais complicada do que simplesmente tirar um print e enviar o arquivo.
O programa malicioso, instalado por engano por um usuário, abre um aplicativo alvo, definido pelos agentes por trás do ataque. Pode ser um app de mensagens, de e-mail, o Google Authenticator ou outra ferramenta do tipo. Então, o malware aplica uma camada semitransparente de blur na tela do sistema. Com isso, ele é capaz de acessar os processos de renderização daquele aplicativo.
A partir daí, o programa malicioso monitora pixels de uma área especificada, para detectar se cada um deles é branco ou não branco. Caso seja branco, o tempo de processamento usado na renderização é menor; caso seja não branco, esse tempo é maior.
O processo é feito individualmente para cada pixel desejado. Por isso, ele é demorado, chegando a um máximo de 2,1 pixels por segundo. Mesmo assim, os pesquisadores dizem que esse tempo é suficiente para recuperar um código do Google Authenticator, por exemplo. Não é necessário escanear todos os pixels da área; com apenas alguns, é possível deduzir o texto na tela.
Usando essas informações, o malware é capaz de recriar a imagem, sem que seja necessário usar a ferramenta de captura de tela propriamente dita. A partir daí, é possível usar uma ferramenta de reconhecimento óptico de caracteres (OCR) para transformar os dados nas informações desejadas.
A falha tem correção? Quais aparelhos são afetados?
Os pesquisadores demonstraram a falha em cinco smartphones, com versões do Android que vão da 13 à 16: Pixel 6, Pixel 7, Pixel 8, Pixel 9 e Galaxy S25. Eles afirmam que os mecanismos que permitem o ataque geralmente estão disponíveis em aparelhos com esse sistema operacional.
Na atualização de segurança do Android liberada em setembro de 2025, o Google mitigou parcialmente o problema. Uma correção adicional será distribuída no update de dezembro.
Segundo a empresa, não há nenhuma evidência de ataque usando o método, e os mecanismos de detecção da Play Store não encontraram nenhum app que explore essa vulnerabilidade.
Com informações do Register, do ZDNet e do Ars Technica