Uma nova vulnerabilidade descoberta no Android permite que aplicativos maliciosos acessem o conteúdo exibido por outros apps, potencialmente comprometendo frases de recuperação de carteiras de criptomoedas, códigos de autenticação de dois fatores (2FA) e outras informações.
De acordo com um artigo de pesquisa recente, o ataque “Pixnapping” “ignora todas as proteções dos navegadores e pode até roubar segredos de aplicativos que não são baseados em navegador”. Isso é possível explorando interfaces de programação de aplicativos (APIs) do Android para calcular o conteúdo de um pixel específico exibido por outro aplicativo.
O processo não é tão simples quanto o aplicativo malicioso solicitar e acessar o conteúdo da tela de outro app. Em vez disso, ele sobrepõe uma pilha de atividades semitransparentes controladas pelo invasor para ocultar tudo, exceto um pixel selecionado, e então manipula esse pixel para que sua cor predomine no quadro.
Ao repetir esse processo e cronometrar as renderizações dos quadros, o malware infere os pixels e reconstrói informações exibidas na tela. Felizmente, isso leva tempo e limita a eficácia do ataque contra conteúdos exibidos por apenas alguns segundos.
Frases-semente em risco
Um tipo de informação particularmente sensível que costuma permanecer na tela por mais de alguns segundos são as frases de recuperação de carteiras de criptomoedas. Essas frases, que permitem acesso total e irrestrito às carteiras conectadas, exigem que os usuários as anotem para manter em segurança. O estudo testou o ataque em códigos 2FA em dispositivos Google Pixel:
“Nossos testes recuperaram corretamente o código 2FA de 6 dígitos em 73%, 53%, 29% e 53% das tentativas nos Pixel 6, 7, 8 e 9, respectivamente. O tempo médio para recuperar cada código 2FA foi de 14,3, 25,8, 24,9 e 25,3 segundos nos Pixel 6, Pixel 7, Pixel 8 e Pixel 9, respectivamente.”
Embora capturar uma frase de recuperação completa de 12 palavras leve muito mais tempo, o ataque ainda é viável se o usuário deixar a frase visível enquanto a anota.
Resposta da Google
A vulnerabilidade foi testada em cinco dispositivos que executavam versões do Android entre 13 e 16: Google Pixel 6, Pixel 7, Pixel 8, Pixel 9 e Samsung Galaxy S25. Os pesquisadores afirmaram que o mesmo ataque pode funcionar em outros dispositivos Android, já que as APIs exploradas estão amplamente disponíveis.
A Google inicialmente tentou corrigir a falha limitando quantas atividades um app pode desfocar simultaneamente. No entanto, os pesquisadores encontraram uma forma de contornar a restrição, permitindo que o Pixnapping continuasse funcionando.
“Até 13 de outubro, ainda estamos coordenando com a Google e a Samsung os prazos de divulgação e as medidas de mitigação.”
Segundo o artigo, a Google classificou o problema como de alta gravidade e prometeu recompensar os pesquisadores com um bug bounty. A equipe também alertou a Samsung de que “a correção da Google foi insuficiente para proteger os dispositivos da Samsung”.
Carteiras físicas oferecem proteção segura
A solução mais óbvia para o problema é evitar exibir frases de recuperação ou qualquer conteúdo altamente sensível em dispositivos Android. Ainda melhor seria evitar exibir esse tipo de informação em qualquer dispositivo conectado à internet.
Uma solução simples para isso é usar uma hardware wallet. Uma carteira física é um dispositivo dedicado ao gerenciamento de chaves, que assina transações externamente, sem nunca expor a chave privada ou a frase de recuperação a um computador ou smartphone. Como destacou o pesquisador de ameaças Vladimir S em uma publicação no X:
“Simplesmente não use seu celular para proteger suas criptomoedas. Use uma hardware wallet!“