Una vulnerabilidad recientemente descubierta en Android permite que aplicaciones maliciosas accedan al contenido mostrado por otras aplicaciones, lo que podría comprometer las frases de recuperación de billeteras cripto, los códigos de autenticación de dos factores (2FA) y mucho más.
Según un reciente artículo de investigación, el ataque «Pixnapping» «elude todas las medidas de mitigación del navegador e incluso puede robar secretos de aplicaciones que no son del navegador». Esto es posible gracias al uso de las interfaces de programación de aplicaciones (API) de Android para calcular el contenido de un píxel específico mostrado por una aplicación diferente.
No se trata simplemente de que la aplicación maliciosa solicite y acceda al contenido mostrado por otra aplicación. En lugar de ello, superpone una serie de actividades semitransparentes controladas por el atacante para ocultar todo excepto un píxel elegido, y luego manipula ese píxel para que su color domine el fotograma.
Al repetir este proceso y sincronizar la renderización de los fotogramas, el malware deduce esos píxeles para reconstruir los secretos que aparecen en pantalla. Afortunadamente, esto lleva tiempo y limita la utilidad del ataque contra contenidos que no se muestran durante más de unos segundos.
Frases semilla en peligro
Un tipo de información especialmente sensible que suele permanecer en pantalla durante mucho más tiempo que unos segundos son las frases de recuperación de billeteras cripto. Estas frases, que permiten un acceso completo y sin restricciones a las billeteras cripto conectadas, requieren que los usuarios las anoten para su custodia. El artículo probó el ataque a los códigos 2FA en dispositivos Google Pixel:
«Nuestro ataque recupera correctamente el código 2FA completo de 6 dígitos en el 73%, 53%, 29% y 53% de las pruebas realizadas en los Pixel 6, 7, 8 y 9, respectivamente. El tiempo medio para recuperar cada código 2FA es de 14,3, 25,8, 24,9 y 25,3 segundos para el Pixel 6, Pixel 7, Pixel 8 y Pixel 9, respectivamente».
Aunque una frase de recuperación completa de 12 palabras tardaría mucho más tiempo en capturarse, el ataque sigue siendo viable si el usuario deja la frase visible mientras la escribe.
Respuesta de Google
La vulnerabilidad se probó en cinco dispositivos con versiones de Android del 13 al 16: Google Pixel 6, Google Pixel 7, Google Pixel 8, Google Pixel 9 y Samsung Galaxy S25. Los investigadores afirmaron que el mismo ataque podría funcionar en otros dispositivos Android, ya que las API explotadas están ampliamente disponibles.
Google intentó inicialmente corregir el fallo limitando el número de actividades que una aplicación puede difuminar a la vez. Sin embargo, los investigadores afirmaron haber encontrado una solución alternativa que sigue permitiendo el funcionamiento de Pixnapping.
«A fecha de 13 de octubre, seguimos coordinándonos con Google y Samsung en relación con los plazos de divulgación y las medidas de mitigación».
Según el artículo, Google calificó el problema como de alta gravedad y se comprometió a recompensar a los investigadores con una prima por el hallazgo del error. El equipo también se puso en contacto con Samsung para advertirle de que «el parche de Google era insuficiente para proteger los dispositivos Samsung».
Las billeteras de hardware ofrecen una protección segura
La solución más obvia al problema es evitar mostrar frases de recuperación o cualquier otro contenido especialmente sensible en los dispositivos Android. Aún mejor sería evitar mostrar información de recuperación en cualquier dispositivo con conexión a Internet.
Una solución sencilla para lograrlo es utilizar una billetera de hardware. Una billetera de hardware es un dispositivo dedicado a la gestión de claves que firma transacciones externamente a un ordenador o smartphone sin exponer nunca la clave privada o la frase de recuperación. Como dijo el investigador de amenazas Vladimir S en una publicación de X sobre el tema:
«Simplemente no utilices tu teléfono para proteger tus criptomonedas. ¡Utiliza una billetera de hardware!».
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
