Les appareils Android sont vulnérables à une nouvelle attaque appelée « pixnapping »
Les appareils Android sont vulnérables à une nouvelle attaque appelée « pixnapping » qui permet de voler secrètement des codes 2FA, des historiques de localisation et d'autres données privées
Une équipe de chercheurs a découvert une nouvelle catégorie d'attaques Android qui permettent de voler discrètement des informations sensibles affichées par d'autres applications ou même des sites web. Cette attaque, baptisée « Pixnapping », exploite à la fois les fonctionnalités du système d'exploitation Android et un canal latéral matériel pour extraire les données affichées à l'écran, telles que les codes d'authentification à deux facteurs (2FA), les messages privés et les informations financières, sans que les utilisateurs ne se rendent compte que leurs données ont été compromises.
Android est un système d'exploitation basé sur une version modifiée du noyau Linux et d'autres logiciels open source, conçu principalement pour les appareils mobiles à écran tactile tels que les smartphones et les tablettes. Android a été développé par un consortium de développeurs connu sous le nom d'Open Handset Alliance, mais sa version la plus utilisée est principalement développée par Google. Lancé pour la première fois en 2008, Android est le système d'exploitation le plus utilisé au monde ; c'est le système d'exploitation le plus utilisé pour les smartphones, mais aussi pour les tablettes; la dernière version, sortie le 10 juin 2025, est Android 16.
Récemment, une équipe de chercheurs dirigée par Riccardo Paccagnella, professeur adjoint au département des systèmes logiciels et sociétaux (S3D) de l'université Carnegie Mellon, a découvert une nouvelle catégorie d'attaques Android qui permettent de voler discrètement des informations sensibles affichées par d'autres applications ou même des sites web. Cette attaque, baptisée « Pixnapping », exploite à la fois les fonctionnalités du système d'exploitation Android et un canal latéral matériel pour extraire les données affichées à l'écran, telles que les codes d'authentification à deux facteurs (2FA), les messages privés et les informations financières, sans que les utilisateurs ne se rendent compte que leurs données ont été compromises.
Le pixnapping permet à une application Android malveillante de « capturer » des pixels provenant d'autres applications ou sites web en exploitant les API Android et un canal latéral matériel GPU connu sous le nom de « GPU.zip », qui divulgue des informations sur la manière dont le matériel graphique traite les données visuelles. Les chercheurs ont démontré la réussite d'attaques sur des téléphones Google et Samsung modernes, notamment les Pixel 6 à Pixel 9 et le Galaxy S25, fonctionnant sous Android versions 13 à 16.
Lors des tests de validation, Pixnapping a permis de récupérer des informations sensibles à partir d'applications et de sites web largement utilisés tels que Signal, Venmo, Google Authenticator, Gmail, Google Maps et Google Accounts. Plus frappant encore, une application malveillante pouvait voler les codes 2FA de Google Authenticator en moins de 30 secondes, sans nécessiter aucune autorisation Android ni afficher d'activité suspecte à l'utilisateur.
« Conceptuellement, c'est comme si n'importe quelle application pouvait prendre une capture d'écran d'autres applications ou sites web sans autorisation, ce qui constitue une violation fondamentale du modèle de sécurité d'Android », a déclaré Paccagnella.
En février, l'équipe de recherche a communiqué ses conclusions à Google, qui a classé Pixnapping comme une vulnérabilité « haute gravité » et a commencé à la suivre sous le numéro CVE-2025-48561 dans le système CVE (Common Vulnerabilities and Exposures). Google a tenté d'atténuer le problème en restreignant l'accès à certaines API, mais l'équipe de recherche a ensuite découvert une solution de contournement qui a restauré l'efficacité de l'attaque. Au 13 octobre 2025, Android reste vulnérable.
« Pour corriger le Pixnapping, il faudra probablement modifier les mécanismes fondamentaux d'Android, par exemple en permettant aux applications d'empêcher d'autres applications de superposer leur contenu sensible », explique Paccagnella. Il prévient que, comme les mécanismes fondamentaux utilisés par le Pixnapping sont généralement disponibles sur tous les appareils Android, la vulnérabilité touche probablement un large éventail de smartphones de différents fabricants.
Pour prévenir le Pixnapping, les chercheurs recommandent aux utilisateurs de mettre à jour leurs appareils Android avec les derniers correctifs dès leur publication. L'équipe prévoit de publier le code source du Pixnapping dès que des correctifs efficaces seront disponibles, afin de soutenir la recherche universitaire et les défenses de l'industrie. Vous pouvez obtenir les dernières mises à jour et informations sur le projet via son site webOuvre dans une nouvelle fenêtre.
Voici les informations partagées par l'équipe de chercheurs :
Questions et Réponses
Quels sont les appareils concernés ? Nous avons testé Pixnapping sur cinq appareils fonctionnant sous Android versions 13 à 16 (jusqu'à l'identifiant de build BP3A.250905.014) : Google Pixel 6, Google Pixel 7, Google Pixel 8, Google Pixel 9 et Samsung Galaxy S25.
Nous n'avons pas confirmé si les appareils Android d'autres fabricants sont concernés par Pixnapping. Cependant, les mécanismes fondamentaux permettant l'attaque sont généralement disponibles sur tous les appareils Android.
Quelles sont les conditions requises pour l'attaque ? Toute application Android en cours d'exécution peut lancer cette attaque, même si elle ne dispose d'aucune autorisation Android (c'est-à-dire qu'aucune autorisation n'est spécifiée dans son fichier manifeste).
Quelles informations l'attaque permet-elle de voler ? Tout ce qui est visible lorsque l'application cible est ouverte peut être volé par l'application malveillante utilisant Pixnapping. Les messages de chat, les codes 2FA, les e-mails, etc. sont tous vulnérables puisqu'ils sont visibles.
Si une application contient des informations secrètes qui ne sont pas visibles (par exemple, une clé secrète qui est stockée mais qui n'apparaît jamais à l'écran), ces informations ne peuvent pas être volées par Pixnapping.
Le Pixnapping est-il utilisé dans la nature ? Nous ne le savons pas.
Je suis un utilisateur. Comment puis-je me protéger ? Veillez à installer les correctifs Android dès qu'ils sont disponibles.
Je suis développeur d'applications. Comment puis-je protéger mes utilisateurs ? Nous ne connaissons pas de stratégies d'atténuation pour protéger les applications contre le Pixnapping. Si vous avez des idées d'atténuation, veuillez nous en faire part et nous mettrons à jour cette section.
Comment fonctionne Pixnapping ? Une application malveillante peut lancer une attaque Pixnapping en trois étapes :
- Appeler une application cible (par exemple, Google Authenticator) pour provoquer la soumission d'informations sensibles à des fins de rendu. Cette étape est décrite dans la section 3.1 du document.
- Provoquer des opérations graphiques sur des pixels sensibles individuels rendus par l'application cible (par exemple, les pixels qui font partie de la zone de l'écran où un caractère 2FA est connu pour être rendu par Google Authenticator). Cette étape est décrite dans la section 3.2 du document.
- Utiliser un canal auxiliaire (par exemple, GPU.zip) pour voler les pixels sur lesquels l'étape 2 a été effectuée, un pixel à la fois. Cette étape est décrite dans la section 3.3 du document.
Les étapes 2 et 3 sont répétées pour autant de pixels que nécessaire afin d'exécuter l'OCR sur les pixels récupérés et de récupérer le contenu d'origine. Conceptuellement, c'est comme si l'application malveillante prenait une capture d'écran du contenu de l'écran auquel elle ne devrait pas avoir accès.
Quelles API Android Pixnapping exploite-t-il ? Pixnapping force les pixels sensibles dans le pipeline de rendu et superpose des activités semi-transparentes sur ces pixels via des intentions Android. Pour induire des opérations graphiques sur ces pixels, nos instanciations utilisent l'API de flou de fenêtre d'Android. Pour mesurer le temps de rendu, nos instanciations utilisent des rappels VSync. Pour une explication plus détaillée, nous vous renvoyons à l'article.
Google prévoit-il de corriger ces API ? Google a tenté de corriger Pixnapping en limitant le nombre d'activités sur lesquelles une application peut invoquer le flou. Cependant, nous avons découvert une solution permettant à Pixnapping de fonctionner malgré ce correctif. Cette solution est encore sous embargo.
Quel canal latéral matériel Pixnapping exploite-t-il ? Pixnapping s'appuie sur le canal latéral GPU.zip pour divulguer des pixels.
Les fournisseurs de GPU prévoient-ils de corriger le canal latéral matériel ? En octobre 2025, aucun fournisseur de GPU ne s'était engagé à corriger GPU.zip.
Existe-t-il un CVE attribué à Pixnapping ? Oui. Pixnapping est répertorié sous le numéro CVE-2025-48561 dans le système CVE (Common Vulnerabilities and Exposures).
D'autres systèmes d'exploitation sont-ils affectés par Pixnapping ? Android est vulnérable au Pixnapping car il permet à une application :
- D'envoyer les activités d'une autre application au pipeline de rendu Android (par exemple, avec des intentions).
- D'induire des opérations graphiques (par exemple, un flou) sur les pixels affichés par les activités d'une autre application.
- De mesurer les effets secondaires des opérations graphiques dépendant de la couleur des pixels.
Nous n'avons pas encore étudié l'applicabilité de ces propriétés sur d'autres plateformes.
Qu'est-ce que la vulnérabilité de contournement de la liste des applications ? Il s'agit d'une autre vulnérabilité que nous avons découverte et qu'une application peut utiliser pour déterminer si une autre application est installée sur le téléphone. Ces informations peuvent être utilisées pour profiler les utilisateurs. Notez que contrairement aux astuces précédentes de contournement de la liste des applications (par exemple, [1] et [2]), rien ne doit être spécifié dans le fichier manifeste de l'application malveillante pour exploiter notre vulnérabilité de contournement de la liste des applications. Pour une explication plus détaillée, nous vous renvoyons à la section 3.1 de l'article.
Google prévoit-il de corriger la vulnérabilité de contournement de la liste des applications ? En octobre 2025, Google ne s'était pas engagé à corriger notre vulnérabilité de contournement de la liste des applications. Ils ont classé notre rapport comme « Ne sera pas corrigé (irréalisable) ».
Source : Rapport sur le « pixnapping »
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ?
Voir aussi :
Répondre avec citation
Partager