S’han descobert dispositius Android de Google i Samsung vulnerables a un atac de canal lateral que podrien ser explotades per robar de manera encoberta codis d’autenticació de dos factors (2FA), cronologies de Google Maps i altres dades delicades sense el coneixement dels usuaris, píxel a píxel.

L’atac ha estat anomenat en clau Pixnapping per un grup d’acadèmics de la Universitat de Califòrnia (Berkeley), la Universitat de Washington, la Universitat de Califòrnia (San Diego) i la Universitat Carnegie Mellon.

Pixnapping, en essència, és un marc de treball per robar píxels dirigit a dispositius Android d’una manera que evita les mitigacions del navegador i fins i tot extreu dades d’aplicacions que no són del navegador com ara Google Authenticator aprofitant les API d’Android i un canal lateral de maquinari, cosa que permet que una aplicació maliciosa faci servir la tècnica com a arma per capturar codis 2FA en menys de 30 segons.

«La nostra observació clau és que les API d’Android permeten que un atacant creï un anàleg a [Paul] Atacs a l’estil Stone fora del navegador», van dir els investigadors en un article. «Concretament, una aplicació maliciosa pot forçar els píxels víctimes a entrar al pipeline de renderització mitjançant els intents d’Android i calcular sobre aquests píxels víctimes mitjançant una pila d’activitats semitransparents d’Android.»

L’estudi es va centrar específicament en cinc dispositius de Google i Samsung que executen les versions 13 a 16 d’Android, i tot i que no és clar si els dispositius Android d’altres fabricants d’equips originals (OEM) són susceptibles a Pixnapping, i la metodologia subjacent necessària per dur a terme l’atac és present en tots els dispositius que executen el sistema operatiu mòbil.

El que fa que aquest nou atac sigui significatiu és que es pot fer servir qualsevol aplicació d’Android per executar-lo, fins i tot si l’aplicació no té cap permís especial adjunt a través del seu fitxer de manifest. Tanmateix, l’atac pressuposa que la víctima ha estat convençuda per algun altre mitjà per instal·lar i iniciar l’aplicació.

El canal lateral que fa possible el Pixnapping és GPU.zip, que va ser revelat per alguns dels mateixos investigadors el setembre de 2023. L’atac essencialment aprofita una funció de compressió de les GPU integrades modernes (iGPU) per fer atacs de robatori de píxels d’origen creuat al navegador mitjançant filtres SVG.

L’última classe d’atac combina això amb l’API de desenfocament de finestres d’Android per filtrar dades de renderització i permetre el robatori de les aplicacions víctimes. Per aconseguir-ho, s’utilitza una aplicació Android maliciosa per enviar píxels de l’aplicació víctimes al pipeline de renderització i superposar activitats semitransparents mitjançant intents– un mecanisme de programari Android que permet la navegació entre aplicacions i activitats.

En altres paraules, la idea és invocar una aplicació de destinació que contingui informació d’interès (per exemple, codis 2FA) i fer que les dades s’enviïn per a la renderització, amb la qual cosa l’aplicació no autoritzada instal·lada aïlla les coordenades d’un píxel de destinació (és a dir, les que contenen el codi 2FA) i indueix una pila d’activitats semitransparents per emmascarar, ampliar i transmetre aquest píxel mitjançant el canal lateral. Aquest pas es repeteix per a cada píxel enviat al pipeline de renderització.

Els investigadors van explicar que Android és vulnerable a Pixnapping a causa d’una combinació de tres factors que permeten a una aplicació

• Enviar les activitats d’una altra aplicació al pipeline de renderització d’Android (per exemple, amb intents).
• Induir operacions gràfiques (per exemple, desenfocar) en els píxels que mostren les activitats d’una altra aplicació.
• Mesurar els efectes secundaris de les operacions gràfiques dependents del color dels píxels.

Google està fent un seguiment del problema amb l’identificador CVE CVE-2025-48561(Puntuació CVSS: 5,5). El gegant tecnològic va publicar pedaços per a la vulnerabilitat com a part del seu Butlletí de seguretat d’Android del setembre de 2025, i Google va assenyalar que: «Una aplicació que sol·licita molts i molts desenfocaments: (1) permet el robatori de píxels mesurant quant de temps es triga a realitzar un desenfocament a través de finestres, [i] (2) probablement no és gaire vàlida de totes maneres.»

«Vam publicar un pedaç per a la vulnerabilitat CVE-2025-48561 al butlletí de seguretat d’Android de setembre, que mitiga parcialment aquest comportament», va dir un portaveu de Google a The Hacker News. «Publicarem un pedaç addicional per a aquesta vulnerabilitat al butlletí de seguretat d’Android de desembre. No hem vist cap evidència d’explotació en estat natural.»

No obstant això, des de llavors ha sortit a la llum que existeix un mètode actualitzat que «altera el seu temps» i es pot utilitzar per reactivar el Pixnapping. L’empresa ha assenyalat que està preparant un segon pedaç més complet per abordar el nou vector d’atac que evita les mitigacions existents, i ha afegit que l’explotació de la falla requereix dades específiques sobre el dispositiu objectiu i que no ha trobat cap explotació maliciosa a Google Play.

A més, l’estudi va descobrir que, a conseqüència d’aquest comportament, és possible que un atacant determini si una aplicació arbitrària està instal·lada al dispositiu, i evitar les restriccions implementades des d’Android 11 que impedeixen consultar la llista de totes les aplicacions instal·lades al dispositiu d’un usuari. L’omissió de la llista d’aplicacions continua sense pedaços, i Google la marca com a «no se solucionarà.»

«Com als navegadors al principi, el disseny intencionadament col·laboratiu i multiactor de la superposició de capes d’aplicacions mòbils fa que les restriccions òbvies siguin poc atractives», van concloure els investigadors.

«La superposició d’aplicacions no desapareixerà, i les aplicacions en capes serien inútils amb un estil de restricció sense galetes de tercers. Una resposta realista és fer que els nous atacs siguin tan poc atractius com els antics: permetre que les aplicacions delicades s’excloguin i restringir les capacitats de mesurament de l’atacant perquè qualsevol prova de concepte quedi només això.»