Una reciente investigación de cuatro universidades estadounidenses ha revelado una vulnerabilidad crítica en Android conocida como Pixnapping (CVE-2025-48561).
Este ataque permite que aplicaciones sin privilegios ni permisos especiales accedan al contenido mostrado por otras aplicaciones. El hallazgo representa una amenaza directa para la privacidad, ya que puede filtrar datos confidenciales de servicios como Google Authenticator, Gmail, Signal, Venmo o Google Maps, sin que el usuario lo note.
El equipo demostró que Pixnapping puede capturar incluso los códigos de autenticación de dos factores (2FA) de Google Authenticator en menos de 30 segundos, abriendo la puerta al robo de credenciales y accesos protegidos. La técnica empleada no depende de errores clásicos de software, sino de un canal lateral de hardware en la GPU que expone diferencias sutiles en el tiempo de renderizado de píxeles.
¿Cómo funciona el ataque Pixnapping?
Pixnapping aprovecha un principio descubierto hace más de una década y perfeccionado en el ataque GPU.zip. En esencia, renderizar un píxel del mismo color que el ya mostrado es más rápido que renderizar uno distinto. Analizando estas variaciones de tiempo, el atacante puede reconstruir con precisión el contenido visual de otras aplicaciones, como si tomara una captura de pantalla invisible.
La técnica se basa en superponer una ventana semitransparente sobre la aplicación víctima y medir el comportamiento gráfico píxel por píxel. Gracias a la API de desenfoque de Android y las devoluciones de llamada VSync, el atacante puede medir con extrema precisión el tiempo de renderizado, identificando qué píxeles forman caracteres visibles o zonas de fondo. Este proceso permite “leer” lo que el usuario ve, sin necesidad de permisos de acceso a la pantalla.
Dispositivos afectados y alcance del ataque
Los investigadores probaron Pixnapping en Google Pixel 6, 7, 8 y 9, además del Samsung Galaxy S25, todos ejecutando Android entre las versiones 13 y 16. Los resultados mostraron que el ataque funciona en todos los casos, aunque con distinta precisión: entre 29% y 73% de acierto, dependiendo del dispositivo y las condiciones de ruido gráfico.
En el caso de Google Authenticator, los códigos de seis dígitos pudieron ser detectados con éxito en menos de 30 segundos, cumpliendo el tiempo de rotación del 2FA. Los investigadores aseguran que cualquier smartphone Android moderno podría ser vulnerable, ya que las APIs y optimizaciones que permiten el ataque están presentes en la mayoría de los dispositivos.
Las medidas de mitigación de Google
Google reaccionó al incluir una mitigación inicial en su parche de seguridad de septiembre de 2025, limitando el uso del desenfoque en múltiples capas. Sin embargo, los investigadores lograron burlar esa protección, demostrando que la defensa actual es insuficiente. Google planea introducir una solución más completa en diciembre, aunque los fabricantes de GPU aún no han anunciado correcciones específicas, a pesar de que el canal lateral utilizado es conocido desde hace más de 12 años.
Por ahora, los expertos recomiendan a los usuarios mantener sus dispositivos actualizados y aplicar los parches tan pronto como estén disponibles. A los desarrolladores, les sugieren monitorear futuras directrices de seguridad, ya que no existen estrategias claras para mitigar este tipo de ataques desde el código de las aplicaciones.
Finalmente, si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.
Continúar leyendo...