La verificación en dos pasos con aplicaciones de autenticación es uno de los métodos más seguros para proteger nuestras cuentas, o eso creíamos. ellos cuentan en Ars Técnica eso un grupo de investigadores de varias universidades americanas han descubierto un nuevo tipo de ataque en Android que es capaz de copiar estos códigos en menos de 30 segundos, que es precisamente el tiempo que tarda en actualizarse.
Pixnapping. Es el nombre de este nuevo ataque capaz de robar códigos de autenticación en dos pasos de apps como Google Authenticator o Microsoft Authenticator. Estas apps muestran códigos que se actualizan automáticamente cada 30 segundos, por lo que es más segura que, por ejemplo, la verificación por SMS, que suele dar un margen de 10 o 15 minutos para copiar el código. Con esta técnica, los investigadores han conseguido descifrar el código de seis dígitos en sólo 23 segundos, lo que deja tiempo de sobra para utilizar el código e iniciar sesión en la cuenta que quieren robar.
Cómo funciona. Cualquier aplicación en Android puede lanzar un ataque de pixnapping sin necesidad de obtener permisos especiales. Una vez en marcha, el ataque se produce en tres pasos:
- La aplicación maliciosa utiliza las API de Android para comunicarse con la aplicación que quiere espiar. Estas llamadas obligan a la aplicación de destino a mostrar datos específicos (los códigos de autenticación) y envían esta información al canal de renderizado de Android, que es responsable de mostrar los píxeles de cada aplicación en la pantalla.
- Pixnapping realiza operaciones gráficas en los píxeles que han sido recibidos por el proceso de renderizado. Identifique las coordenadas de cada píxel de interés y compruebe si el color es blanco o no blanco.
- Los píxeles blancos tardan menos en renderizarse que los píxeles que no son blancos. Al medir el tiempo, pixnapping puede reconstruir imágenes a partir de los datos del proceso de renderizado.
La velocidad es clave. Pixnapping también puede obtener otro tipo de información que es visible en pantalla, como números de cuenta o información personal, pero la velocidad con la que se ejecuta lo hace especialmente peligroso para estas aplicaciones de autenticación. Para lograrlo, los investigadores redujeron el número de muestras por píxel, de modo que pudieran descifrar los seis dígitos en 30 segundos.
¿A qué teléfonos afecta? Como decíamos, el pixnapping sólo afecta al sistema operativo Android, pero parece extenderse a bastantes versiones. La investigación comprobó que el ataque podría realizarse en dispositivos con versiones desde Android 13 hasta Android 16. Sólo lo han reproducido en teléfonos Pixel y un Samsung Galaxy S25, pero creen que por el mecanismo del ataque cualquier Android se verá afectado.
Cómo protegerse. Esperando por ahora. Google ya ha lanzado un parche hace poco para mitigar este ataque, pero han descubierto que hay formas de evitarlo. En declaraciones a El RegistroGoogle confirmó que lanzarían un segundo parche en diciembre para ponerle fin. La buena noticia es que dicen que no tienen pruebas de que existan aplicaciones que se aprovechen de esta vulnerabilidad.
Imagen | Pixnapping
En | Un clic y adiós a nuestras contraseñas. Esta es la vulnerabilidad que afecta a las extensiones de varios gestores
