Investigadores de universidades dos Estados Unidos revelaram uma nova técnica de ataque que expõe uma fragilidade séria em muitos dispositivos Android: o Pixnapping, um método de “roubo de píxeis” capaz de extrair, píxel a píxel, dados sensíveis exibidos no ecrã, incluindo códigos de autenticação em duas etapas (2FA) e trechos do Google Maps, sem que o utilizador se aperceba.
A descoberta foi assinada por académicos da UC Berkeley, Universidade de Washington, UC San Diego e Carnegie Mellon. Em testes, o Pixnapping afetou dispositivos Google e Samsung com Android 13 a 16, mas a base técnica do ataque sugere que qualquer equipamento Android pode estar potencialmente vulnerável.
Como funciona
Como avança o The Hacker News, o ataque baseia-se numa combinação de factores: uma aplicação maliciosa instalada no telemóvel — que não necessita de permissões especiais no manifesto — é capaz de empurrar píxeis de outra app para o pipeline de renderização do Android através de intents e de atividades semitransparentes. Em paralelo, um canal lateral de hardware explora mecanismos de compressão e temporização na GPU integrada, permitindo medir efeitos subtis no processamento gráfico e, a partir daí, reconstruir a cor de píxeis específicos.
Na prática, a aplicação maliciosa induz a exibição de uma app-alvo (por exemplo, o Google Authenticator), isola as coordenadas dos píxeis que contêm o código 2FA e, repetindo o processo píxel a píxel, reconstrói a informação. Segundo os autores, códigos 2FA podem ser capturados em menos de 30 segundos.
Porque é que isto é preocupante
Diferentemente de muitos ataques que exigem permissões visíveis ou engenharia social complexa, o Pixnapping pode ser executado por uma aplicação aparentemente inofensiva — desde que o utilizador aceite instalá-la e a inicie. Além disso, a técnica contorna as mitigações típicas dos navegadores e consegue extrair dados de aplicações nativas não baseadas em browser, o que aumenta significativamente o seu alcance.
O Google já reagiu
A vulnerabilidade foi registada como CVE-2025-48561 (pontuação CVSS 5,5). O Google lançou um patch parcial no boletim de segurança do Android de setembro de 2025 e anunciou uma correção adicional prevista para dezembro. A empresa afirma não ter encontrado evidências de exploração ativa no Google Play e classifica o ataque como dependente de dados específicos do dispositivo.
Ainda assim, os investigadores alertam que existem variantes do método capazes de “alterar o tempo” e contornar algumas mitigações, o que reforça a necessidade de patches de segurança mais robustos.
O que os utilizadores devem fazer
Embora esta ameaça específica não esteja a ser utilizada ativamente por cibercriminosos, existem malwares semelhantes capazes de obter informações do ecrã. Para se proteger, as principais recomendações são:
-
instalar as atualizações de segurança do Android assim que estejam disponíveis;
-
evitar aplicações de fontes não confiáveis;
-
e acompanhar os anúncios oficiais do fabricante sobre patches relativos ao boletim de segurança do Android.
