Des chercheurs ont mis en lumière un nouveau type d’attaque qui permet à des applications malveillantes d’intercepter des informations sensibles sur d’autres applications. Ce mécanisme soulève des préoccupations majeures concernant la sécurité des appareils Android, notamment pour les utilisateurs de Samsung et Google Pixel.
Des chercheurs découvrent une faille critique dans Android
Les utilisateurs de mobiles Samsung ou Google Pixel doivent être vigilants : une équipe de chercheurs a identifié une faille majeure dans Android qui permet de dérober des informations personnelles en moins de 30 secondes, notamment des codes d’authentification à deux facteurs, des courriels et des messages privés. Ce type d’attaque, nommé « Pixnapping », n’est malheureusement pas un scénario fictif.
Pixnapping : vol de pixels et de confidentialité
Contrairement à d’autres attaques, Pixnapping ne nécessite pas de permissions particulières ni d’exploitation des accès root ou des vulnérabilités du noyau : tout ce qu’il faut, c’est que la victime installe une application malveillante apparemment innocente. Une fois installée, l’application peut « lire » les pixels affichés par d’autres applications, ce qui lui permet de reconstituer des données sensibles telles que des mots de passe, des messages, des adresses, ou des codes temporaires de vérification. L’attaquant a ainsi la capacité d’espionner l’écran de l’utilisateur.
« C’est comme si une application malveillante prenait des captures d’écran invisibles de contenus auxquels elle ne devrait pas avoir accès », déclare Alan Linghao Wang, auteur principal de l’étude intitulée Pixnapping : Bringing Pixel Stealing out of the Stone Age.
Le mécanisme ressemble à l’attaque GPU.zip, identifiée en 2023, qui exploitait la façon dont les GPU rendraient des images compressées pour déduire des mots de passe ou des noms d’utilisateur. Dans cette situation, Pixnapping suit le même principe, mais appliqué à Android : il mesure le temps nécessaire pour dessiner chaque pixel afin de déterminer s’il est blanc, noir ou d’une autre couleur. Grâce à cette information, couplée à une analyse mathématique, il peut reconstruire les textes ou chiffres affichés à l’écran sans réaliser de captures d’écran.
Tests sur les modèles Pixel et Galaxy S25
L’équipe a testé Pixnapping sur plusieurs modèles de Google Pixel (6, 7, 8 et 9) et un Samsung Galaxy S25. Sur les téléphones Google, le système a réussi à reconstituer des codes à six chiffres de Google Authenticator en 14 à 25 secondes, avec un taux de précision atteignant jusqu’à 73 % selon le modèle. Pour le Galaxy S25, l’attaque s’est montrée moins efficace en raison du « bruit graphique » ajouté par Samsung, mais des ajustements pourraient en améliorer l’efficacité.
Pour respecter la contrainte de 30 secondes avant l’expiration des codes d’authentification à deux facteurs (2FA), les chercheurs ont réduit le nombre d’échantillons par pixel et ajusté les temps de rendu, ce qui a permis d’accélérer le processus sans perte de précision. Comme le rapporte Ars Technica, ces optimisations leur ont permis d’extraire un code valide avant qu’il n’expire, ce qui semblait jusqu’alors impossible sans accès root.
Google prépare un correctif de sécurité
Google a confirmé qu’une solution à ce problème est en cours. Dans son bulletin de sécurité de septembre, le géant technologique a publié un premier correctif partiel (CVE-2025-48561), et une seconde mise à jour est attendue en décembre pour résoudre complètement la faille. Bien qu’ils reconnaissent la gravité de cette vulnérabilité, la société assure qu’il n’y a pas de preuves que l’attaque Pixnapping soit utilisée dans la réalité.
Cependant, la découverte de ces chercheurs met en évidence que Android présente encore des angles morts dans son architecture, en particulier quant à la manière dont les applications partagent des ressources graphiques. Même si cette attaque n’est pas simple à reproduire hors laboratoire, car elle nécessite une installation par l’utilisateur, elle démontre que les barricades entre les applications sont plus fragiles que prévu.
En attendant le déploiement du correctif final par Google, les experts en sécurité recommandent de maintenir le système d’exploitation à jour, d’installer uniquement des applications depuis Google Play et de vérifier les permissions d’accessibilité ou de superposition d’écran. De plus, il est judicieux d’utiliser des applications d’authentification avec une protection supplémentaire, comme un verrouillage par code PIN ou biométrie.