Os ataques Pixnyaping podem roubar códigos 2FA usando pixels na tela

Uma equipe de acadêmicos diz que encontrou uma maneira de separar dados confidenciais na tela pixel por pixel – o código de autenticação bifator baseado em tempo (2 FA) em menos de 30 segundos é rápido o suficiente para capturar o código. A estratégia, apelidada de pixnyaping e Relatado por notícias de hackersObviamente, os telefones Google e Samsung foram notados no Android 13, 16 e 16, mas os autores argumentaram que os componentes essenciais existem em todo o amplo ecossistema Android.

Teoricamente, o erro de esterilização de telas, como funciona

E o que isso significa para os usuários

Pixnopping não está abusando de outra permissão de captura de tela. É um pipeline de canal lateral que abusa das camadas do Android em como o Windows e os processos. Um aplicativo contaminado (mesmo sem todas as permissões especiais) pode forçar o conteúdo do aplicativo de caça a renderizar caminhos através do propósito, empilhar atividades semitransparentes e acionar efeitos visuais para vazar informações sobre cada valor de pixel. Repita esse loop e você poderá reconstruir o que está na tela com a figura do Google Authenticer, bits da linha do tempo do Google Maps ou outros elementos sensíveis da interface do usuário.

Esse fluxo não é novo; Na verdade, ele produz GPUGP, uma manifestação de 2023 que mostra que o comportamento de contração da GPU pode ser usado para roubo de navios cruzados em navegadores. Aqui, os pesquisadores combinaram a peculiaridade do hardware com a API Android Window Blur para medir as diferenças de tempo dependentes de Pixel e para medir dados exfiltrados de aplicativos que não são de navegador. Resumidamente: Sem capturas de tela, apenas física e uma programação fofa.

O Google definiu o problema do CVE -2025-48561 (CVSS 5.5) e em setembro de 2025, a subducção enviada do boletim de segurança do Android, alertou que solicitações vagas com spam podem indicar e permitir o roubo de pixels. No entanto, os pesquisadores dizem que já existe um trabalho que reativa o pixanyaping e o Google está trabalhando em outra correção.

Há também uma segunda dor de cabeça. Como efeito colateral da estratégia, o invasor pode decidir se um aplicativo voluntário será instalado, implementando restrições do Android 11 para solicitar a lista completa de aplicativos. Foi relatado que o Google “não corrigiu” esse comportamento.

Então, o que você pode fazer agora? Para começar, certifique-se de que a proteção de jogo esteja ativa e evite o cydialoding do APK Sketch-Charahara. No geral, seja cético em relação aos aplicativos que enfatizam a abertura de outros aplicativos por meio deles, especialmente se eles mostrarem sobreposições transparentes estranhas ou transições confusas.

Na plataforma, os pesquisadores sugerem que esses ataques potenciais permanecem teóricos, sugerindo o poder de tirar os aplicativos sensíveis da combinação e os de última geração do invasor. Enquanto isso, desative os aplicativos desconhecidos até que os patches caiam em todos os lugares, com uma lupa em seus ombros.