Una nueva vulnerabilidad de Android, llamada Pixnapping, permite a las aplicaciones maliciosas robar datos sensibles de la pantalla en menos de 30 segundos, sin permisos especiales.

Los investigadores han descubierto una vulnerabilidad grave en Android, llamada Pixnapping, que permite a las aplicaciones maliciosas robar rápidamente datos sensibles de la pantalla, como códigos de Google Authenticator, mensajes de Signal e información financiera de Venmo. Pixnapping elude el modelo de permisos de Android, capturando todo lo que es visible en la pantalla sin necesidad de permisos especiales. El ataque manipula el sistema de reproducción de Android para extraer datos pixel por pixel, utilizando técnicas avanzadas de reconocimiento óptico de caracteres (OCR). La vulnerabilidad está relacionada con un problema de canal lateral del procesador gráfico, denominado GPU.zip, que permite a las aplicaciones observar las variaciones en el tiempo de reproducción. Google ha evaluado Pixnapping como una vulnerabilidad de alta severidad y ha emitido una solución parcial, pero los investigadores han logrado eludirla rápidamente. Por el momento, no existe un método seguro para que los usuarios se protejan contra Pixnapping, y se recomiendan actualizaciones del sistema.