Autenticação em dois fatores sempre soou como o escudo definitivo para proteger contas e aparelhos. Agora, pesquisadores detalham um golpe que vira esse conceito de cabeça para baixo. Batizado de Pixnapping, o ataque captura qualquer informação exibida na tela — inclusive códigos 2FA — em menos de meio minuto. Se você usa aplicativos bancários ou geradores de senhas no smartphone, o alerta passa de importante a urgente.
A falha, identificada inicialmente em celulares Google Pixel e Samsung Galaxy S25, não exige engenharia social sofisticada nem permissões extravagantes. Basta instalar um app contaminado para entregar ao invasor um mapa em tempo real dos pixels que mudam no display. O resultado é um raide silencioso a dados que, até ontem, pareciam inatingíveis.
Como o Pixnapping rastreia cada pixel da sua tela
Diferente de malwares que vasculham arquivos ou pedem acesso à câmera, o Pixnapping explora um recurso interno do Android destinado ao feedback visual de apps. O programa malicioso força o aplicativo-alvo a exibir informações sensíveis e, em seguida, monitora as variações de brilho nos pontos da tela. Ao transformar esses padrões em caracteres, o invasor reconstrói números, letras e símbolos — exatamente o que você está vendo.
Nos testes divulgados pela equipe de pesquisa, o processo completo — do acionamento à obtenção do código 2FA — levou menos de 30 segundos. Isso inclui a leitura de logins bancários, tokens temporários e até trechos de conversas que apareçam no display.
Dispositivos afetados e o dilema do patch que não resolve
O estudo menciona especificamente o Google Pixel e o Galaxy S25, mas ressalta que a técnica pode ser adaptada para vários outros modelos Android. O Google publicou um patch de segurança, porém os especialistas afirmam que a atualização isolada não impede o ataque. Ainda não há confirmação oficial de correções adicionais ou deadlines para novos updates.
Boas práticas recomendadas pelos pesquisadores
Enquanto o conserto definitivo não chega, as orientações tradicionais de segurança ganham peso extra:
Imagem: Hendra Susanto
- Manter o sistema operacional atualizado, checando em Configurações > Segurança > Atualizações.
- Instalar apps somente pela Google Play Store oficial.
- Usar soluções de segurança de reputação comprovada.
- Monitorar permissões: se um app abre outro sem motivo aparente, considere removê-lo.
Pixels sob ataque: o que a falha ensina sobre a fragilidade do “vidro” 2FA
A grande lição do caso Pixnapping é que segurança multifator não é um cofre impenetrável, mas uma janela de vidro reforçado. Quando o atacante consegue observar a tela, qualquer camada de proteção baseada em códigos visíveis se torna vulnerável. Para profissionais de marketing, criadores de conteúdo ou gestores de sites que dependem de autenticação forte para acessar painéis de AdSense, WordPress ou redes de afiliados, o incidente comprova que confiar apenas na leitura visual do token é arriscado.
No curto prazo, a indústria deve acelerar a adoção de métodos que não dependem de exibição de números, como passkeys criptográficas e autenticação via hardware (chaves FIDO). Para o ecossistema Android, o desafio é dupla-face: aprimorar limites de acesso a APIs que monitoram pixels e, simultaneamente, educar usuários sobre o perigo de instalar apps fora das lojas oficiais.
Em última análise, a vulnerabilidade reflete uma tendência: quanto mais camadas de segurança adicionamos, mais sofisticadas se tornam as tentativas de contorná-las. O Pixnapping não é apenas um novo golpe; é um alerta de que a proteção real exige combinar tecnologia, curadoria de aplicativos e vigilância constante ao comportamento do sistema.
