Uma nova falha no Android permite que aplicativos maliciosos roubem códigos e mensagens 2FA por meio de ataques de temporização de GPU, afetando a maioria dos dispositivos, apesar de uma correção parcial. A new Android flaw lets malicious apps steal 2FA codes and messages via GPU timing attacks, affecting most devices despite a partial fix.

Uma vulnerabilidade Android recém-descoberta chamada "Pixnapping", rastreada como CVE-2025-48561, permite que aplicativos maliciosos roubem dados confidenciais na tela, como códigos de autenticação de dois fatores e mensagens privadas, usando um ataque de canal lateral que explora o tempo da GPU. A newly discovered Android vulnerability called "Pixnapping," tracked as CVE-2025-48561, allows malicious apps to steal sensitive on-screen data like two-factor authentication codes and private messages using a side-channel attack that exploits GPU timing. Pesquisadores da UC Berkeley, UC San Diego, Universidade de Washington e Carnegie Mellon demonstraram que a falha afeta quase todos os dispositivos Android modernos, incluindo modelos Pixel e Samsung, e pode extrair códigos 2FA em menos de 30 segundos. Researchers from UC Berkeley, UC San Diego, the University of Washington, and Carnegie Mellon demonstrated the flaw affects nearly all modern Android devices, including Pixel and Samsung flagship models, and can extract 2FA codes in under 30 seconds. O ataque engana aplicativos legítimos para exibir conteúdo, e depois o reconstrói por meio de análise de tempo em nível de pixel sem o consentimento do usuário. The attack tricks legitimate apps into displaying content, then reconstructs it via pixel-level timing analysis without user consent. O Google divulgou uma correção parcial na atualização de setembro, mas os pesquisadores confirmam que a exploração pode contorná-la, com um patch completo esperado em dezembro. Google has released a partial fix in the September update, but researchers confirm the exploit can bypass it, with a full patch expected in December. Nenhuma evidência de uso do mundo real foi encontrada em 14 de outubro de 2025. No evidence of real-world use has been found as of October 14, 2025. Os usuários são aconselhados a manter os dispositivos atualizados e evitar aplicativos não confiáveis. Users are advised to keep devices updated and avoid untrusted apps.