A new Android flaw lets malicious apps steal 2FA codes and messages via GPU timing attacks, affecting most devices despite a partial fix. Una nueva falla de Android permite que las aplicaciones maliciosas roben códigos y mensajes 2FA a través de ataques de cronometraje de GPU, afectando a la mayoría de los dispositivos a pesar de una solución parcial.

A newly discovered Android vulnerability called "Pixnapping," tracked as CVE-2025-48561, allows malicious apps to steal sensitive on-screen data like two-factor authentication codes and private messages using a side-channel attack that exploits GPU timing. Una vulnerabilidad de Android recientemente descubierta llamada "Pixnapping", rastreada como CVE-2025-48561, permite a las aplicaciones maliciosas robar datos sensibles en pantalla como códigos de autenticación de dos factores y mensajes privados utilizando un ataque de canal lateral que explota el tiempo de la GPU. Researchers from UC Berkeley, UC San Diego, the University of Washington, and Carnegie Mellon demonstrated the flaw affects nearly all modern Android devices, including Pixel and Samsung flagship models, and can extract 2FA codes in under 30 seconds. Investigadores de UC Berkeley, UC San Diego, la Universidad de Washington y Carnegie Mellon demostraron que la falla afecta a casi todos los dispositivos Android modernos, incluidos los modelos insignia Pixel y Samsung, y puede extraer códigos 2FA en menos de 30 segundos. The attack tricks legitimate apps into displaying content, then reconstructs it via pixel-level timing analysis without user consent. El ataque engaña a las aplicaciones legítimas para que muestren contenido, luego lo reconstruye a través del análisis de tiempo a nivel de píxel sin el consentimiento del usuario. Google has released a partial fix in the September update, but researchers confirm the exploit can bypass it, with a full patch expected in December. Google ha lanzado una corrección parcial en la actualización de septiembre, pero los investigadores confirman que el exploit puede evitarlo, con un parche completo previsto para diciembre. No evidence of real-world use has been found as of October 14, 2025. No se ha encontrado evidencia de uso en el mundo real a partir del 14 de octubre de 2025. Users are advised to keep devices updated and avoid untrusted apps. Se aconseja a los usuarios que mantengan los dispositivos actualizados y eviten las aplicaciones que no sean de confianza.