Pixnapping
Descobri recentemente este site sobre o "Pixnapping", uma nova forma de ataque de segurança que afeta dispositivos Android, e fiquei impressionado com a forma como expõe vulnerabilidades que parecem saídas de um filme de espionagem, mas são bem reais. Basicamente, o Pixnapping permite que uma aplicação maliciosa roube informações exibidas por outras apps ou sites, tudo de forma discreta, sem que o utilizador se aperceba.
Imaginem: abrem o Google Authenticator para ver um código de autenticação de dois fatores, e em menos de 30 segundos, um app traiçoeiro copia isso tudo, explorando APIs do Android e um canal lateral no hardware. O site explica que isto foi demonstrado em telemóveis Google Pixel e Samsung Galaxy, afetando versões do Android de 13 a 16, e provavelmente mais.
O que torna isto preocupante é a simplicidade para o atacante: não precisa de permissões especiais na app, basta invocar a app-alvo para renderizar a informação sensível, induzir operações gráficas em pixeis específicos e usar um side channel no GPU para roubar os dados pixel a pixel. É como tirar uma screenshot sem autorização, mas de forma cirúrgica. O site tem uma secção de perguntas e respostas que esclarece tudo de forma clara, e destaca que, por enquanto, não há mitigações fáceis para developers – eles até convidam a comunidade a partilhar ideias.
Para realçar os pontos mais críticos, aqui vão alguns destaques do que o site menciona:
- Dispositivos afetados: Principalmente Pixels 6 a 9 e Samsung S25, mas outros podem estar em risco devido aos mecanismos comuns no Android.
- Proteção para utilizadores: Instalar patches do Android assim que saírem, pois é a única defesa prática por agora.
- CVE associado: Tem o número CVE-2025-48561, e há uma linha temporal de divulgações que vai desde fevereiro de 2025, com a Google a tentar patches, mas com soluções de contorno ainda em embargo.
Há também um vídeo de demonstração e um paper académico disponível para download, que vai ser apresentado numa conferência em Taiwan em outubro de 2025. O título do paper, "Pixnapping: Bringing Pixel Stealing out of the Stone Age", tem um toque de humor negro, sugerindo que roubar pixeis evoluiu de métodos primitivos para algo sofisticado.
No final das contas, este tipo de descoberta lembra-nos como o mundo digital é frágil, mesmo em sistemas que usamos todos os dias. Na minha opinião, é um alerta valioso para sermos mais vigilantes com as apps que instalamos e atualizações que ignoramos – afinal, quem diria que um simples blur numa janela poderia abrir portas a ladrões de dados? Esperemos que as empresas de hardware e software acelerem as correções, porque num mundo cada vez mais dependente de autenticações seguras, falhas como esta podem custar caro a qualquer um... literalmente!!
