Nuevo ataque Pixnapping de Android roba códigos MFA píxel por píxel

Iniciado por AXCESS, Octubre 14, 2025, 05:01:42 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Octubre 14, 2025, 05:01:42 PM


Un nuevo ataque de canal lateral llamado Pixnapping permite que una aplicación maliciosa de Android sin permisos extraiga datos confidenciales robando píxeles mostrados por aplicaciones o sitios web y reconstruyéndolos para obtener el contenido.

El contenido puede incluir datos privados confidenciales, como mensajes de chat de aplicaciones de comunicación segura como Signal, correos electrónicos de Gmail o códigos de autenticación de dos factores de Google Authenticator.

El ataque, diseñado y demostrado por un equipo de siete investigadores universitarios estadounidenses, funciona en dispositivos Android modernos con todas las actualizaciones y puede robar códigos de autenticación de dos factores en menos de 30 segundos.

Google intentó solucionar el problema (CVE-2025-48561) en la actualización de Android de septiembre. Sin embargo, los investigadores lograron eludir la mitigación y se espera una solución efectiva en la actualización de seguridad de Android de diciembre de 2025.

Cómo funciona Pixnapping

El ataque comienza con una aplicación maliciosa que abusa del sistema de intenciones de Android para iniciar la aplicación o página web objetivo. Por lo tanto, su ventana se envía al proceso de composición del sistema (SurfaceFlinger), responsable de combinar varias ventanas cuando son visibles simultáneamente.

A continuación, la aplicación maliciosa mapea los píxeles objetivo (por ejemplo, los píxeles que forman el dígito de un código de 2FA) y determina mediante múltiples operaciones gráficas si son blancos o no.

Para aislar cada píxel, los investigadores llaman una "actividad de enmascaramiento", que se ubica en primer plano y oculta la aplicación objetivo. A continuación, el atacante convierte la ventana de cobertura en "todos los píxeles blancos opacos, excepto el píxel en la ubicación elegida por el atacante, que se configura como transparente".

Durante el ataque Pixnapping, los píxeles aislados se amplían, aprovechando una peculiaridad en la forma en que SurfaceFlinger implementa el desenfoque, lo que produce un efecto similar al estiramiento.

Subregión borrosa 1x1 extendida en un parche de color más grande


Tras recuperar todos los píxeles de la víctima, se utiliza una técnica similar a la del OCR para diferenciar cada carácter o dígito.

"Conceptualmente, es como si la aplicación maliciosa tomara una captura de pantalla de contenido al que no debería tener acceso", explican los investigadores.



Para robar los datos, utilizaron el ataque de canal lateral You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que aprovecha la compresión de datos gráficos en las GPU modernas para filtrar información visual.

Aunque la tasa de filtración de datos es relativamente baja, oscilando entre 0,6 y 2,1 píxeles por segundo, las optimizaciones demostradas por los investigadores muestran que los códigos de 2FA u otros datos sensibles pueden exfiltrarse en menos de 30 segundos.

Vídeo demostrativo:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Impacto en Android

Los investigadores demostraron el Pixnapping en dispositivos Google Pixel 6, 7, 8 y 9, así como en el Samsung Galaxy S25, con versiones de Android 13 a 16, y todos ellos fueron vulnerables al nuevo ataque de canal lateral.

Dado que los mecanismos subyacentes que hacen efectivo el Pixnapping se encuentran en versiones anteriores de Android, es probable que la mayoría de los dispositivos Android y versiones anteriores del sistema operativo también sean vulnerables.

Los investigadores analizaron casi 100.000 aplicaciones de Play Store y encontraron cientos de miles de acciones invocables mediante intenciones de Android, lo que indica que el ataque tiene una amplia aplicabilidad.

El documento técnico presenta los siguientes ejemplos de robo de datos:

Google Maps: Las entradas de la cronología ocupan entre 54.264 y 60.060 píxeles; la recuperación no optimizada de una entrada tarda entre 20 y 27 horas en todos los dispositivos.

Venmo: Las actividades (perfil, saldo, transacciones, extractos) se pueden abrir mediante intenciones implícitas. Las regiones de saldo de cuenta tienen entre 7473 y 11 352 píxeles y se filtran en un plazo de entre 3 y 5 horas sin optimizar.

Mensajes de Google (SMS): las intenciones explícitas/implícitas pueden abrir conversaciones. Las regiones objetivo son de entre 35 500 y 44 574 píxeles; la recuperación sin optimizar tarda entre 11 y 20 horas. El ataque distingue entre enviados y recibidos probando píxeles azules y no azules o grises y no grises.

Signal (mensajes privados): las intenciones implícitas pueden abrir conversaciones. Las regiones objetivo son de entre 95 760 y 100 320 píxeles; la recuperación sin optimizar tarda entre 25 y 42 horas, y el ataque funcionó incluso con la Seguridad de Pantalla de Signal activada.

Tanto Google como Samsung se han comprometido a corregir las fallas antes de que finalice el año, pero ningún fabricante de chips GPU ha anunciado planes para aplicar parches al ataque de canal lateral You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Si bien el método de explotación original se mitigó en septiembre, Google recibió un ataque actualizado que demostró una forma de eludir la solución original. Google ha desarrollado un parche más completo que se lanzará con las actualizaciones de seguridad de Android de diciembre.

Google afirma que aprovechar esta técnica de filtración de datos requiere datos específicos sobre el dispositivo objetivo, lo que, como señalaron los investigadores, conlleva una baja tasa de éxito. Las verificaciones actuales no encontraron aplicaciones maliciosas en Google Play que aprovechen la vulnerabilidad Pixnapping.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario