Se ha descubierto que los dispositivos Android de Google y Samsung son vulnerables a un ataque de canal lateral eso podría aprovecharse para robar de forma encubierta códigos de autenticación de dos factores (2FA), cronogramas de Google Maps y otros datos confidenciales sin que los usuarios lo sepan píxel por píxel.
El ataque tiene un nombre en clave Pixnapping por un grupo de académicos de la Universidad de California (Berkeley), la Universidad de Washington, la Universidad de California (San Diego) y la Universidad Carnegie Mellon.
El pixnapping, en esencia, es un marco de robo de píxeles dirigido a dispositivos Android de manera que evita las mitigaciones del navegador e incluso extrae datos de aplicaciones que no son de navegador, como Google Authenticator, al aprovechar las API de Android y un canal lateral del hardware, lo que permite a una aplicación malintencionada utilizar la técnica como arma para capturar códigos de 2FA en menos de 30 segundos.
«Nuestra observación clave es que las API de Android permiten a un atacante crear un análogo a [Paul] Ataques al estilo Stone fuera del navegador», dijeron los investigadores dijo en un periódico. «Concretamente, una aplicación malintencionada puede forzar a la víctima a pasar los píxeles de la víctima a la canalización de procesamiento mediante intentos de Android y calcularlos a partir de esos píxeles de la víctima mediante una pila de actividades semitransparentes de Android».
El estudio se centró específicamente en cinco dispositivos de Google y Samsung con las versiones 13 a 16 de Android y, aunque no está claro si los dispositivos Android de otros fabricantes de equipos originales (OEM) son susceptibles al pixnapping, la metodología subyacente necesaria para llevar a cabo el ataque está presente en todos los dispositivos que ejecutan el sistema operativo móvil.
Lo que hace que el nuevo ataque sea significativo es que se puede usar cualquier aplicación de Android para ejecutarlo, incluso si la aplicación no tiene ningún permiso especial adjunto a través de su archivo de manifiesto. Sin embargo, el ataque presupone que la víctima haya sido convencida por otros medios de instalar y ejecutar la aplicación.
El canal lateral que hace posible Pixnapping es GPU.zip , que fue divulgado por algunos de los mismos investigadores en septiembre de 2023. Básicamente, el ataque aprovecha una función de compresión de las GPU integradas (iGPU) modernas para realizar ataques de robo de píxeles de origen cruzado en el navegador mediante filtros SVG.
|
| Descripción general de nuestro marco de robo de píxeles |
La última clase de ataque combina esto con la API de desenfoque de ventanas de Android para filtrar datos de renderizado y permitir el robo de las aplicaciones de las víctimas. Para ello, se utiliza una aplicación Android malintencionada para enviar los píxeles de la aplicación víctima al proceso de renderizado y superponer las actividades semitransparentes mediante intentos — un mecanismo de software de Android que permite la navegación entre aplicaciones y actividades .
En otras palabras, la idea es invocar una aplicación objetivo que contenga información de interés (por ejemplo, códigos 2FA) y hacer que los datos se envíen para su renderización, tras lo cual la aplicación no autorizada instalada en el dispositivo aísla las coordenadas de un píxel objetivo (es decir, los que contienen el código 2FA) e induce una pila de actividades semitransparentes para enmascarar, ampliar y transmitir ese píxel mediante el canal lateral. A continuación, este paso se repite para cada píxel enviado a la canalización de renderizado.
Los investigadores dijeron que Android es vulnerable al pixnapping debido a una combinación de tres factores que permiten que una aplicación:
- Enviar las actividades de otra aplicación a la canalización de renderizado de Android (por ejemplo, con intenciones)
- Inducir operaciones gráficas (p. ej., desenfoque) en los píxeles mostrados por las actividades de otra aplicación
- Mida los efectos secundarios de las operaciones gráficas que dependen del color de los píxeles
Google está rastreando el problema con el identificador CVE CVE-2025-48561 (Puntuación CVSS: 5.5). El gigante tecnológico publicó parches para la vulnerabilidad como parte de su Boletín de seguridad de Android de septiembre de 2025 , con Google observando que: «Una aplicación que solicita montones y montones de desenfoques: (1) permite el robo de píxeles midiendo el tiempo que se tarda en realizar un desenfoque en las ventanas, [y] (2) probablemente no sea muy válida de todos modos».
Sin embargo, desde entonces ha salido a la luz que existe una solución alternativa que se puede utilizar para volver a habilitar Pixnapping. Se dice que la empresa está trabajando en una solución.
Además, el estudio descubrió que, como consecuencia de este comportamiento, un atacante puede determinar si una aplicación arbitraria está instalada en el dispositivo, eludiendo las restricciones implementado desde Android 11, que impiden consultar la lista de todas las aplicaciones instaladas en el dispositivo de un usuario. La omisión de la lista de aplicaciones permanece sin parches, y Google la marca como «no se solucionará».
«Al igual que los navegadores al principio, el diseño intencionalmente colaborativo y multiactor de las capas de aplicaciones móviles hace que las restricciones obvias no sean atractivas», concluyeron los investigadores.
«La estratificación de aplicaciones no va a desaparecer, y las aplicaciones en capas serían inútiles con un estilo de restricción sin cookies de terceros. Una respuesta realista es hacer que los nuevos ataques sean tan poco atractivos como los antiguos: permita que las aplicaciones sensibles se excluyan y restrinja las capacidades de medición del atacante para que cualquier prueba de concepto se quede en eso».