Pesquisadores da Universidade da Califórnia e outras instituições descobriram uma vulnerabilidade em dispositivos Android da Google e Samsung, que pode ser explorada por meio de um ataque chamado ‘Pixnapping’. Este ataque permite que aplicativos maliciosos capturem códigos de autenticação de dois fatores (2FA), cronogramas do Google Maps e outros dados sensíveis sem o conhecimento do usuário. O método utiliza APIs do Android e um canal lateral de hardware, permitindo que um aplicativo malicioso intercepte dados de outros aplicativos, mesmo sem permissões especiais. O ataque foi testado em cinco dispositivos com Android entre as versões 13 e 16, mas a metodologia pode ser aplicada a todos os dispositivos Android. O Google já está ciente da vulnerabilidade, identificada como CVE-2025-48561, e lançou patches em setembro de 2025. No entanto, um método alternativo para reativar o ataque foi descoberto, e a empresa está trabalhando em uma solução definitiva. A vulnerabilidade também permite que atacantes verifiquem se aplicativos específicos estão instalados no dispositivo, contornando restrições implementadas nas versões mais recentes do Android.
Fonte: https://thehackernews.com/2025/10/new-pixnapping-android-flaw-lets-rogue.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
14/10/2025 • Risco: ALTO
VULNERABILIDADE
Vulnerabilidade em dispositivos Android permite roubo de dados sensíveis
RESUMO EXECUTIVO
A vulnerabilidade Pixnapping permite que aplicativos maliciosos capturem dados sensíveis de outros aplicativos em dispositivos Android. Com um CVE identificado e patches disponíveis, é crucial que as empresas implementem medidas de segurança para proteger informações críticas e garantir a conformidade com a LGPD.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras devido a vazamentos de dados e multas por não conformidade.
Operacional
Roubo de dados sensíveis como códigos 2FA e informações de localização.
Setores vulneráveis
['Setor financeiro', 'Setor de tecnologia', 'Setor de saúde']
📊 INDICADORES CHAVE
CVE-2025-48561 com CVSS score de 5.5.
Indicador
Vulnerabilidade testada em cinco dispositivos.
Contexto BR
Tempo de captura de dados em menos de 30 segundos.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se os dispositivos Android estão atualizados com os patches mais recentes.
2
Implementar políticas de segurança que restrinjam a instalação de aplicativos de fontes não confiáveis.
3
Monitorar continuamente atividades suspeitas em dispositivos Android e aplicativos instalados.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança dos dados dos usuários e a conformidade com a LGPD, já que a vulnerabilidade pode levar a vazamentos de informações sensíveis.
⚖️ COMPLIANCE
Implicações legais relacionadas à LGPD e proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
