Você já deve ter lido alguma dica de segurança cibernética indicando a instalação da autenticação de dois fatores (2FA) para proteger seu dispositivo. Mas o que fazer quando é exatamente esse recurso que é hackeado?
Um novo ataque, chamado Pixnapping, rouba secretamente códigos 2FA, tem acesso à sua linha do tempo de localização e a outras informações privadas em menos de 30 segundos, explica a arstechnika.
Vulnerabilidade permite roubo de dados
A falha em dispositivos Android permite que invasores capturem informações diretamente na tela do aparelho. Por exemplo, quando o aplicativo do banco é aberto ou se o usuário utiliza um código de segurança para acessar um site. O Pixnapping observa o que aparece na tela, lê os pixels exibidos e tem acesso às informações privadas.
Basta baixar um aplicativo contaminado para abrir as portas do seu dispositivo para pessoas mal-intencionadas. Os pesquisadores identificaram a falha em aparelhos Google Pixel e Samsung Galaxy S25, mas acreditam que o ataque pode ser adaptado para funcionar em outros modelos.
Apesar do Google ter lançado um patch de segurança recentemente, aparentemente o ataque funciona mesmo com a atualização instalada.
Como o Pixnapping funciona?
O ataque de Pixnapping começa quando um app malicioso usa recursos do Android para forçar um aplicativo, como o gerador de códigos de autenticação, a mostrar dados sensíveis na tela.
No lugar de roubar arquivos ou pedir permissões, o app invasor observa exatamente quais pontos da tela (os pixels) mudam, explicam os pesquisadores.
Leia mais:
- Ataque em falha da Oracle atingiu mais de 100 empresas, alerta Google
- Google põe até R$ 170 mil na mesa para quem achar bugs em suas IAs
- Vulnerabilidade expõe SMS e MMS em smartphones OnePlus
Em seguida, analisa esses pixels para “desenhar” ou “ler” áreas da tela onde acredita que estejam os números, letras e símbolos. O ataque converte padrões visuais em caracteres reconhecíveis, permitindo que o invasor reconstrua as informações exibidas na tela do smartphone, como códigos de login, apenas interpretando alterações nos pixels.
Os pesquisadores explicam que “qualquer coisa visível quando o aplicativo alvo é aberto pode ser roubada pelo app malicioso usando o Pixnapping.”
Como se proteger do Pixnapping?
A Bitdefender, empresa especializada em segurança cibernética, dá algumas dicas para se proteger do Pixnapping:
- Atualize o dispositivo Android. É possível verificar se há atualizações do sistema no caminho: Configurações > Segurança > Atualizações.
- Evite instalar aplicativos de fontes desconhecidas. Sempre use a Google Play Store oficial.
- Use soluções de segurança dedicadas.
- Revise as permissões e atividades do aplicativo. Se um aplicativo abrir outro inesperadamente, desinstale-o.
Tags: