Una nueva falla de Android permite que las aplicaciones maliciosas roben códigos y mensajes 2FA a través de ataques de cronometraje de GPU, afectando a la mayoría de los dispositivos a pesar de una solución parcial. A new Android flaw lets malicious apps steal 2FA codes and messages via GPU timing attacks, affecting most devices despite a partial fix.

Una vulnerabilidad de Android recientemente descubierta llamada "Pixnapping", rastreada como CVE-2025-48561, permite a las aplicaciones maliciosas robar datos sensibles en pantalla como códigos de autenticación de dos factores y mensajes privados utilizando un ataque de canal lateral que explota el tiempo de la GPU. A newly discovered Android vulnerability called "Pixnapping," tracked as CVE-2025-48561, allows malicious apps to steal sensitive on-screen data like two-factor authentication codes and private messages using a side-channel attack that exploits GPU timing. Investigadores de UC Berkeley, UC San Diego, la Universidad de Washington y Carnegie Mellon demostraron que la falla afecta a casi todos los dispositivos Android modernos, incluidos los modelos insignia Pixel y Samsung, y puede extraer códigos 2FA en menos de 30 segundos. Researchers from UC Berkeley, UC San Diego, the University of Washington, and Carnegie Mellon demonstrated the flaw affects nearly all modern Android devices, including Pixel and Samsung flagship models, and can extract 2FA codes in under 30 seconds. El ataque engaña a las aplicaciones legítimas para que muestren contenido, luego lo reconstruye a través del análisis de tiempo a nivel de píxel sin el consentimiento del usuario. The attack tricks legitimate apps into displaying content, then reconstructs it via pixel-level timing analysis without user consent. Google ha lanzado una corrección parcial en la actualización de septiembre, pero los investigadores confirman que el exploit puede evitarlo, con un parche completo previsto para diciembre. Google has released a partial fix in the September update, but researchers confirm the exploit can bypass it, with a full patch expected in December. No se ha encontrado evidencia de uso en el mundo real a partir del 14 de octubre de 2025. No evidence of real-world use has been found as of October 14, 2025. Se aconseja a los usuarios que mantengan los dispositivos actualizados y eviten las aplicaciones que no sean de confianza. Users are advised to keep devices updated and avoid untrusted apps.