Ce qui s'est passé: Des chercheurs en sécurité ont relancé une technique de vol de données basée sur un navigateur vieille de 12 ans pour cibler les appareils Android, créant ainsi une nouvelle attaque puissante appelée Pixnapping.
- La méthode permet à une application Android malveillante de voler des données affichées sur d'autres applications ou sites Web, y compris des informations sensibles de Google Maps, Gmail, Signal, Venmo et même des codes 2FA de Google Authenticator, sans nécessiter d'autorisations spéciales.
- Pixnapping fonctionne en exploitant un canal latéral matériel (GPU.zip) pour lire les données des pixels de l'écran via des mesures du temps de rendu. En superposant des activités transparentes et en chronométrant la rapidité de rendu des pixels, les attaquants peuvent reconstruire le contenu de l'écran pixel par pixel. Même si la technique ne laisse filtrer que 0,6 à 2,1 pixels par seconde, cela suffit pour récupérer des données sensibles comme les codes d'authentification.
- La vulnérabilité, CVE-2025-48561, affecte les appareils fonctionnant sous Android 13 à 16 (y compris les Pixel 6 à 9 et le Galaxy S25). Un correctif partiel a été publié en septembre 2025, et un correctif plus complet est attendu en décembre.
Pourquoi est-ce important : Pixnapping révèle une faille fondamentale dans le rendu et l'architecture GPU d'Android, démontrant que même des attaques résolues depuis longtemps peuvent refaire surface sous de nouvelles formes.
- Parce qu'elle ne nécessite pas d'autorisations spéciales, une application apparemment inoffensive téléchargée depuis le Google Play Store pourrait secrètement espionner les données sensibles à l'écran.
- L’attaque met également en évidence un problème plus large lié aux vulnérabilités des canaux secondaires : des fuites causées non pas par des bogues logiciels mais par la manière dont le matériel traite les données.
- Ces problèmes sont notoirement difficiles à détecter et à corriger, ce qui pose des défis permanents pour la sécurité mobile.
Pourquoi devrais-je m'en soucier : Si vous utilisez Android, cette recherche souligne le potentiel de vol de données secret sans aucune action ni avertissement de l'utilisateur.
- Les applications peuvent collecter silencieusement des informations sensibles telles que des informations bancaires, des codes 2FA ou des données de localisation simplement en observant l'activité de votre écran.
- Même si Google affirme qu'il n'y a aucune preuve d'exploitation, la simple existence de cette attaque montre que les logiciels malveillants pourraient contourner les défenses de sécurité traditionnelles.
Quelle est la prochaine étape : Google déploie d'autres correctifs pour limiter les abus de l'API Blur et améliorer la détection. Cependant, les chercheurs préviennent que des solutions de contournement existent déjà et que la vulnérabilité sous-jacente GPU.zip n'est toujours pas résolue. Jusqu'à ce qu'une solution permanente soit trouvée, les utilisateurs doivent limiter l'installation d'applications non fiables et maintenir les appareils à jour. Les experts en sécurité s’attendent également à ce que davantage d’attaques par canal secondaire, comme Pixnapping, émergent à mesure que les attaquants perfectionnent ces techniques sophistiquées.
