Se ha descubierto que los dispositivos Android de Google y Samsung son vulnerables a ataques de canal lateral que pueden explotarse para robar secretamente códigos de autenticación de dos factores (2FA), líneas de tiempo de Google Maps y otros datos confidenciales píxel a píxel sin el conocimiento del usuario.
El ataque recibió el nombre en clave «Pixnapping» por parte de un grupo de académicos de la Universidad de California (Berkeley), la Universidad de Washington, la Universidad de California (San Diego) y la Universidad Carnegie Mellon.
En esencia, Pixnapping es un marco de robo de píxeles dirigido a dispositivos Android que evita las mitigaciones del navegador y aprovecha las API de Android y los canales laterales del hardware para desviar datos de aplicaciones que no son del navegador, como Google Authenticator. Esto permite que las aplicaciones maliciosas utilicen técnicas como armas para capturar códigos 2FA en 30 segundos.
«Nuestra observación clave es que la API de Android permite a los atacantes crear ataques similares a los del estilo (Paul) Stone fuera del navegador», dijeron los investigadores en su artículo. «Específicamente, una aplicación maliciosa podría forzar que un píxel de la víctima entre en el proceso de renderizado a través de una intención de Android y utilizar una pila de actividades translúcidas de Android para calcular el píxel de la víctima».
Si bien esta investigación se centró específicamente en cinco dispositivos de Google y Samsung que ejecutan las versiones de Android 13 a 16, y no está claro si los dispositivos Android de otros fabricantes de equipos originales (OEM) son susceptibles a Pixnapping, las técnicas básicas necesarias para llevar a cabo el ataque están presentes en todos los dispositivos que ejecutan sistemas operativos móviles.
La importancia de este nuevo ataque es que se puede ejecutar utilizando una aplicación de Android incluso si a la aplicación no se le otorgan permisos especiales a través de su archivo de manifiesto. Sin embargo, este ataque depende de que se convenza a la víctima para que instale e inicie la aplicación por otros medios.
El canal lateral que permite Pixnapping es GPU.zip, que fue publicado por algunos de los mismos investigadores en septiembre de 2023. Este ataque esencialmente aprovecha las capacidades de compresión de las GPU integradas (iGPU) modernas para realizar un ataque de robo de píxeles de origen cruzado dentro del navegador utilizando un filtro SVG.
Descripción general del marco de acero Pixel
La última clase de ataque combina esto con la API de desenfoque de ventanas de Android para filtrar datos de representación y permitir el robo de la aplicación víctima. Para lograr esto, una aplicación maliciosa de Android envía los píxeles de la aplicación víctima al canal de renderizado y se utiliza para superponer una actividad translúcida mediante intents, un mecanismo de software de Android que permite la navegación entre aplicaciones y actividades.
En otras palabras, la idea es llamar a la aplicación de destino con la información que le interesa (como un código 2FA) y hacer que envíe los datos para su procesamiento. Luego, una aplicación maliciosa instalada en el dispositivo aísla las coordenadas del píxel objetivo (es decir, el píxel que contiene el código 2FA) y dirige una pila de actividades translúcidas para enmascarar, ampliar y transmitir ese píxel utilizando canales laterales. Este paso se repite para cada píxel insertado en el proceso de renderizado.
Los investigadores dijeron que Android es vulnerable a Pixnapping debido a una combinación de tres factores que hacen que las aplicaciones sean capaces de:
Envíe la actividad de otra aplicación al canal de renderizado de Android (por ejemplo, usando una intención) para inducir una operación gráfica (por ejemplo, desenfoque) en los píxeles mostrados por la actividad de otra aplicación. Mide los efectos secundarios de las operaciones gráficas que dependen del color de los píxeles.
Google está rastreando este problema con el identificador CVE CVE-2025-48561 (puntuación CVSS: 5,5). El gigante tecnológico emitió un parche para esta vulnerabilidad como parte de su Boletín de seguridad de Android de septiembre de 2025, y Google afirma: «Aplicaciones que requieren una gran cantidad de desenfoque: (1) permiten el robo de píxeles midiendo el tiempo que lleva realizar un desenfoque en una ventana, (y) (2) probablemente no sean muy útiles de todos modos».
Sin embargo, desde entonces se ha descubierto que existe una solución alternativa que se puede utilizar para volver a habilitar Pixnapping. Se dice que la empresa está trabajando en una solución.
Además, esta investigación encontró que, como resultado de este comportamiento, un atacante puede determinar si hay aplicaciones instaladas en el dispositivo de un usuario, evitando una restricción implementada desde Android 11 que prohíbe consultar la lista de todas las aplicaciones instaladas en el dispositivo de un usuario. La omisión de la lista de aplicaciones sigue sin parchearse y Google la ha marcado como «no solucionada».
Los investigadores concluyeron: «Al igual que el navegador original, la superposición de aplicaciones móviles es un diseño intencionalmente colaborativo y de múltiples actores que hace que las limitaciones obvias sean poco atractivas».
«La estratificación de aplicaciones llegó para quedarse, y las restricciones de estilo sin cookies de terceros no ayudarán a las aplicaciones en capas. Una respuesta práctica es hacer que los nuevos ataques sean tan poco atractivos como los antiguos: optar por no participar en aplicaciones sensibles, limitar la capacidad de medición de los atacantes y garantizar que las pruebas de concepto permanezcan intactas».
Source link
