{"id":24516,"date":"2025-12-06T09:00:18","date_gmt":"2025-12-06T12:00:18","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24516"},"modified":"2025-12-02T10:48:35","modified_gmt":"2025-12-02T13:48:35","slug":"pixnapping-cve-2025-48561","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/pixnapping-cve-2025-48561\/24516\/","title":{"rendered":"Vulnerabilidade Pixnapping: capturas de tela sem restri\u00e7\u00e3o no seu telefone Android"},"content":{"rendered":"

O Android aumenta constantemente as restri\u00e7\u00f5es de aplicativos com o intuito de impedir que golpistas consigam usar softwares maliciosos para roubar dinheiro, senhas e informa\u00e7\u00f5es confidenciais de usu\u00e1rios. No entanto, uma nova vulnerabilidade apelidada de Pixnapping<\/a> \u00e9 capaz de driblar todas as camadas de prote\u00e7\u00e3o do Android, possibilitando que um invasor leia os pixels de imagem da tela de forma impercept\u00edvel, ou seja, fa\u00e7a uma captura de tela.<\/p>\n

Um aplicativo malicioso sem nenhuma permiss\u00e3o pode ver senhas, saldos de contas banc\u00e1rias, c\u00f3digos de uso \u00fanico e qualquer outra informa\u00e7\u00e3o que o usu\u00e1rio do Android visualizar na tela. Felizmente, no momento, o Pixnapping \u00e9 apenas um projeto baseado em pesquisa e ainda n\u00e3o est\u00e1 sendo explorado ativamente por atores de amea\u00e7as. Resta esperar que o Google corrija completamente a vulnerabilidade antes que o c\u00f3digo de ataque seja incorporado a malwares do mundo real. Atualmente, a vulnerabilidade Pixnapping (CVE-2025-48561<\/a>) deve afetar todos os smartphones modernos com sistema Android, incluindo os que executam as vers\u00f5es mais recentes deste sistema.<\/p>\n

Por que a captura e leitura de telas e a proje\u00e7\u00e3o de m\u00eddias s\u00e3o perigosas<\/h2>\n

Conforme demonstrado pelo SparkCat, um malware de roubo de dados que usa OCR,<\/a> os atores de amea\u00e7as j\u00e1 dominam o processamento de imagens. Se houver uma informa\u00e7\u00e3o valiosa em uma imagem no smartphone, o malware poder\u00e1 detect\u00e1-la, executar o reconhecimento \u00f3ptico de caracteres diretamente no telefone e, em seguida, extrair os dados para o servidor do invasor. O SparkCat \u00e9 particularmente significativo por ter conseguido se infiltrar nos marketplaces de aplicativos oficiais, incluindo a App Store. N\u00e3o seria dif\u00edcil para um aplicativo malicioso infectado com Pixnapping replicar esse truque, at\u00e9 mesmo porque o ataque n\u00e3o exige permiss\u00f5es especiais. Um aplicativo aparentemente \u00fatil e leg\u00edtimo pode enviar simult\u00e2nea e silenciosamente c\u00f3digos \u00fanicos de autentica\u00e7\u00e3o multifator<\/a>, senhas de carteiras de criptomoedas e qualquer outra informa\u00e7\u00e3o aos golpistas.<\/p>\n

Visualizar os dados necess\u00e1rios conforme s\u00e3o exibidos, em tempo real, tamb\u00e9m \u00e9 uma t\u00e1tica popular usada pelos agentes maliciosos. Nessa abordagem de engenharia social, eles entram em contato com a v\u00edtima por meio de um aplicativo de mensagens e a convencem, sob v\u00e1rios pretextos, a ativar o compartilhamento de tela<\/a>.<\/p>\n

Anatomia do ataque Pixnapping<\/h2>\n

Os pesquisadores conseguiram capturar o conte\u00fado de outros aplicativos combinando m\u00e9todos j\u00e1 conhecidos de roubo de pixels de navegadores e de unidades de processamento gr\u00e1fico (GPUs) de telefones ARM. Furtivamente, o aplicativo de ataque sobrep\u00f5e janelas transl\u00facidas \u00e0s informa\u00e7\u00f5es desejadas e, em seguida, analisa como o sistema de v\u00eddeo combina os pixels das janelas em uma imagem final.<\/p>\n

Em 2013, pesquisadores descreveram um ataque em que um site foi capaz de carregar outro dentro de sua pr\u00f3pria janela (usando um iframe<\/a>) e, ao executar opera\u00e7\u00f5es leg\u00edtimas de sobreposi\u00e7\u00e3o e transforma\u00e7\u00e3o de imagens, deduzir exatamente o que foi desenhado ou escrito no outro site. Embora os navegadores mais modernos tenham conseguido evitar esse ataque espec\u00edfico, um grupo de pesquisadores dos EUA descobriu como realiz\u00e1-lo no Android.<\/p>\n

O aplicativo malicioso envia uma chamada do sistema para o aplicativo de destino. No Android, isso \u00e9 conhecido como Intent<\/a>. Os Intents costumam permitir tanto a inicializa\u00e7\u00e3o simples do aplicativo quanto a abertura imediata de um navegador a partir de uma URL espec\u00edfica ou de um aplicativo de mensagens a partir de uma conversa com um contato espec\u00edfico. O aplicativo de ataque envia um Intent desenvolvido para for\u00e7ar o aplicativo alvo a renderizar a tela com as informa\u00e7\u00f5es confidenciais. S\u00e3o utilizadas bandeiras especiais de inicializa\u00e7\u00e3o ocultas. Ent\u00e3o, o aplicativo de ataque envia um Intent de inicializa\u00e7\u00e3o para si mesmo. Essa combina\u00e7\u00e3o espec\u00edfica de a\u00e7\u00f5es faz com que o aplicativo n\u00e3o apare\u00e7a na tela da v\u00edtima, mas exiba as informa\u00e7\u00f5es solicitadas pelo invasor em uma janela em segundo plano.<\/p>\n

No segundo est\u00e1gio do ataque, o aplicativo malicioso sobrep\u00f5e v\u00e1rias janelas transl\u00facidas com a janela oculta do aplicativo afetado, cada uma delas cobrindo e desfocando o conte\u00fado da janela abaixo de si. Esse mecanismo complexo permanece invis\u00edvel para o usu\u00e1rio, mas o Android calcula cuidadosamente como seria a apar\u00eancia dessa combina\u00e7\u00e3o de janelas se o usu\u00e1rio a trouxesse para o primeiro plano.<\/p>\n

O aplicativo de ataque s\u00f3 \u00e9 capaz de ler diretamente os pixels das suas pr\u00f3prias janelas transl\u00facidas; o invasor n\u00e3o tem acesso direto \u00e0 imagem combinada final, que incorpora o conte\u00fado da tela do aplicativo da v\u00edtima. Para contornar essa restri\u00e7\u00e3o, os pesquisadores empregam dois truques engenhosos: (i) o pixel que se deseja roubar \u00e9 isolado dos outros ao seu redor, sobrepondo o aplicativo da v\u00edtima com uma janela fosca com um \u00fanico ponto transparente compat\u00edvel com o pixel desejado; (ii) coloca-se uma camada de amplia\u00e7\u00e3o com o desfoque elevado habilitado por cima dessa combina\u00e7\u00e3o.<\/p>\n

\"Como<\/a>

Como a vulnerabilidade Pixnapping funciona<\/p><\/div>\n

Para decifrar o mush resultante e determinar o valor do pixel da janela inferior, os pesquisadores se aproveitaram de outra vulnerabilidade famosa, a GPU.zip<\/a> (esse link pode se parecer com o link de um arquivo, mas conduz ao site de uma pesquisa). Essa vulnerabilidade baseia-se no fato de que todos os smartphones modernos comprimem os dados de qualquer imagem enviada da CPU para a GPU. Essa compacta\u00e7\u00e3o n\u00e3o gera perdas (como um arquivo ZIP), mas a velocidade de compacta\u00e7\u00e3o e descompacta\u00e7\u00e3o sofre altera\u00e7\u00f5es dependendo das informa\u00e7\u00f5es transmitidas. A GPU.zip possibilita que um invasor analise o tempo necess\u00e1rio de compacta\u00e7\u00e3o dos dados. E ao cronometrar essas opera\u00e7\u00f5es, o invasor pode deduzir quais dados est\u00e3o sendo transferidos. Com a ajuda da GPU.zip, o pixel isolado, desfocado e ampliado da janela do aplicativo da v\u00edtima pode ser lido com \u00eaxito pelo aplicativo malicioso.<\/p>\n

Roubar algo significativo requer que todo o processo de roubo de pixels seja repetido centenas de vezes, pois ele precisa ser feito para cada ponto separadamente. No entanto, isso \u00e9 totalmente vi\u00e1vel dentro de um curto per\u00edodo de tempo. Nessa demonstra\u00e7\u00e3o em v\u00eddeo<\/a> do ataque, um c\u00f3digo de seis d\u00edgitos do Google Authenticator foi extra\u00eddo com sucesso em apenas 22 segundos, enquanto o c\u00f3digo ainda estava v\u00e1lido.<\/p>\n

Como o Android protege a confidencialidade da tela<\/h2>\n

Os engenheiros do Google possuem quase duas d\u00e9cadas de experi\u00eancia no combate a diversos ataques de privacidade, o que resultou na cria\u00e7\u00e3o de uma defesa estratificada contra a captura ilegal de telas e v\u00eddeos. Uma lista completa dessas prote\u00e7\u00f5es necessitaria de v\u00e1rias p\u00e1ginas. Portanto, selecionamos apenas algumas das principais:<\/p>\n