Dispositivos Android son vulnerables a un nuevo tipo de ataque que puede extraer de forma encubierta códigos de autenticación de dos factores (2FA), historiales de ubicación y otros datos privados en un lapso de tiempo inferior a 30 segundos.
Este nuevo ataque, bautizado como Pixnapping por el equipo de investigadores académicos que lo desarrolló, requiere que la víctima instale previamente una aplicación maliciosa en su teléfono o tableta Android. Dicha aplicación, que no exige permisos especiales del sistema, puede leer la información que cualquier otra aplicación instalada muestra en la pantalla. Pixnapping ha sido probado con éxito en teléfonos Google Pixel y en el Samsung Galaxy S25, y es probable que pueda adaptarse para funcionar en otros modelos con modificaciones adicionales. Aunque Google lanzó medidas de mitigación el mes pasado, los investigadores afirman que una versión modificada del ataque sigue funcionando incluso después de instalar la actualización.
Funcionamiento Similar a una Captura de Pantalla
Los ataques de Pixnapping comienzan cuando la aplicación maliciosa invoca interfaces de programación de Android que inducen a la aplicación de autenticación u otras aplicaciones objetivo a enviar información sensible a la pantalla del dispositivo. A continuación, la aplicación maliciosa ejecuta operaciones gráficas sobre píxeles específicos de interés para el atacante. Pixnapping explota un canal lateral que permite a la aplicación maliciosa mapear los píxeles en esas coordenadas a letras, números o formas.
“Cualquier elemento visible cuando la aplicación objetivo está abierta puede ser robado por la aplicación maliciosa mediante Pixnapping”, señalan los investigadores en un sitio web informativo. “Mensajes de chat, códigos 2FA, mensajes de correo electrónico, etc., son vulnerables ya que son visibles. Si una aplicación contiene información secreta que no es visible (por ejemplo, una clave secreta almacenada pero nunca mostrada en la pantalla), esa información no puede ser robada por Pixnapping”.
Esta nueva clase de ataque recuerda a GPU.zip, un ataque de 2023 que permitía a sitios web maliciosos leer nombres de usuario, contraseñas y otros datos visuales sensibles mostrados por otros sitios web. Funcionaba explotando canales laterales presentes en las GPU de los principales fabricantes. Las vulnerabilidades explotadas por GPU.zip nunca fueron corregidas. En su lugar, el ataque se bloqueó en los navegadores limitando su capacidad para abrir iframes, un elemento HTML que permite a un sitio web (en el caso de GPU.zip, uno malicioso) incrustar el contenido de un sitio de un dominio diferente.
Pixnapping se dirige al mismo canal lateral que GPU.zip, concretamente, la cantidad precisa de tiempo que tarda en renderizarse un fotograma determinado en la pantalla.
“Esto permite que una aplicación maliciosa robe información sensible mostrada por otras aplicaciones o sitios web arbitrarios, píxel por píxel”, explicó Alan Linghao Wang, autor principal del artículo de investigación “Pixnapping: Sacando el robo de píxeles de la Edad de Piedra”, en una entrevista. “Conceptualmente, es como si la aplicación maliciosa estuviera tomando una captura de pantalla del contenido de la pantalla al que no debería tener acceso. Nuestros ataques de extremo a extremo simplemente miden el tiempo de renderizado por fotograma de las operaciones gráficas… para determinar si el píxel era blanco o no blanco”.
Pixnapping en Tres Pasos
El ataque se desarrolla en tres pasos principales. En el primero, la aplicación maliciosa invoca APIs de Android que realizan llamadas a la aplicación que el atacante desea espiar. Estas llamadas también pueden utilizarse para escanear eficazmente un dispositivo infectado en busca de aplicaciones instaladas de interés. Las llamadas pueden además hacer que la aplicación objetivo muestre datos específicos a los que tiene acceso, como un hilo de mensajes en una aplicación de mensajería o un código 2FA para un sitio específico. Esta llamada hace que la información se envíe a la canalización de renderizado de Android, el sistema que toma los píxeles de cada aplicación para que puedan renderizarse en la pantalla. Las llamadas específicas de Android realizadas incluyen actividades, intents, y tareas.
En el segundo paso, Pixnapping realiza operaciones gráficas en píxeles individuales que la aplicación objetivo envió a la canalización de renderizado. Estas operaciones eligen las coordenadas de los píxeles objetivo que la aplicación quiere robar y comienzan a comprobar si el color de esas coordenadas es blanco o no blanco o, más generalmente, si el color es c o no c (para un color c arbitrario).
“Supongamos, por ejemplo, que [el atacante] quiere robar un píxel que forma parte de la región de la pantalla donde se sabe que Google Authenticator renderiza un carácter 2FA”, dijo Wang. “Este píxel es blanco (si no se renderizó nada allí) o no blanco (si se renderizó allí parte de un dígito 2FA). Entonces, conceptualmente, el atacante quiere provocar algunas operaciones gráficas cuyo tiempo de renderizado sea largo si el píxel de la víctima objetivo no es blanco y corto si es blanco. La aplicación maliciosa hace esto abriendo algunas actividades maliciosas (es decir, ventanas) delante de la aplicación víctima que se abrió en el Paso 1”.
El tercer paso mide la cantidad de tiempo requerido en
Fuente original: ver aquí