Pesquisadores norte-americanos da Carnegie Mellon University e da University of Michigan identificaram uma técnica inédita de ataque que compromete a segurança de dispositivos Android. Batizada de Pixnapping, a técnica afeta modelos fabricados pelo Google e pela Samsung e permite que criminosos capturem dados exibidos na tela, como códigos de autenticação em dois fatores, sem que o usuário perceba.
A descoberta foi aprofundada pela Redbelt Security, que destacou a gravidade da vulnerabilidade por explorar o SurfaceFlinger, mecanismo responsável pela renderização de imagens no Android. O ataque funciona como um canal lateral, capaz de reconstruir informações sensíveis exibidas por outros aplicativos, incluindo códigos temporários do Google Authenticator.
Testes revelam alcance da vulnerabilidade
Durante os experimentos, os pesquisadores comprovaram que cinco modelos das linhas Google e Samsung, com versões entre o Android 13 e o Android 16, foram vulneráveis ao Pixnapping. Embora o Google tenha disponibilizado uma correção inicial em setembro, identificada como CVE-2025-48561, os especialistas conseguiram contornar o patch em menos de 30 segundos e recuperar códigos 2FA das vítimas.
Como o golpe é executado
Para que o ataque seja iniciado, a vítima precisa instalar um aplicativo aparentemente inofensivo, como uma lanterna ou leitor de QR Code, que contenha o código malicioso. Depois de instalado, o app explora o pipeline de renderização do Android e a API de desfoque de janelas, permitindo capturar pixels em segundo plano e reconstruir conteúdos exibidos por outros aplicativos.
Além disso, o Pixnapping consegue identificar apps instalados no dispositivo e contornar restrições de privacidade implementadas desde o Android 11. Essa brecha foi classificada pelo Google como “não será corrigida”.
Segundo análise da Redbelt Security, o caso inaugura uma nova categoria de riscos relacionados à arquitetura gráfica dos sistemas operacionais. “O Pixnapping não depende de permissões tradicionais, como acesso à câmera ou microfone. Ele opera em um nível mais profundo, explorando recursos legítimos do sistema para capturar dados sensíveis”, explica Marcos Sena, gerente de SOC da Redbelt Security.
Recomendações de segurança
A Redbelt Security orienta que os usuários adotem medidas imediatas para reduzir o risco de exploração da falha. Entre as ações recomendadas estão manter o sistema atualizado, evitar aplicativos de fontes não confiáveis, revisar apps instalados, optar por métodos de autenticação mais seguros e monitorar regularmente contas e dispositivos conectados.
Google e Samsung informaram que trabalham em uma atualização mais robusta para mitigar a falha até dezembro.
“Esse tipo de golpe mostra que a fronteira entre vulnerabilidade e engenharia visual está se tornando mais tênue”, completa Sena. “Os criminosos estão explorando até o comportamento dos pixels para obter informações. É fundamental que os usuários mantenham atenção redobrada e que as empresas reforcem as práticas de segurança em camadas.”
