Une nouvelle technique appelée Pixnapping met Android dans les cordes : il autorise une application malveillante, sans demander d'autorisations spéciales, déduire ce qui apparaît à l'écran d'autres applications. La cible la plus intéressante est l'authentification à deux facteurs, mais les messages, les e-mails et les cartes sont également inclus.
Derrière cette découverte se trouve une équipe universitaire qui a démontré que l'attaque fonctionne en modèles récents de Google et Samsung et peut être complété en moins d'une demi-minute. Google a déjà publié une atténuation partielle (CVE-2025-48561), bien que les chercheurs assurent qu'il est possible de la contourner et qu'un second correctif est en préparation pour renforcer la défense.
Qu'est-ce que Pixnapping et comment fonctionne-t-il ?
Pixnapping combine API Android légitimes avec un canal matériel auxiliaire permettant de reconstruire les informations affichées à l'écran sans nécessiter de captures. L'application attaquante superpose les activités semi-transparent qui cachent tout sauf un pixel choisi et, grâce à des appels système, calculent la couleur de ce point pour révéler le contenu.
Le processus est répété des milliers de fois en synchronisant le rendu d'imageEn manipulant ce pixel de sorte que sa couleur domine le cadre et en mesurant les temps de dessin (à la manière des techniques de type GPU.zip), le malware déduit s'il y a des chiffres, des lettres ou des espaces et finit par reconstruire des textes et des nombres que l'utilisateur voit sur l'écran.
Quelles données peuvent être volées et quelles sont leurs limites
Lors des tests avec Authentificateur Google, les auteurs ont récupéré des codes complets à 6 chiffres dans la fenêtre de 30 secondes : taux de réussite de 73 %, 53 %, 29 % et 53 % sur Pixel 6, 7, 8 et 9, avec des temps moyens de 14,3 s ; 25,8 s ; 24,9 secondes ; 25,3p respectivement. L'attaque sert également à extraire des informations visibles dans Gmail, Signal, Venmo ou Google Maps.
Il y a une limite importante : ne peut pas voler des secrets qui ne sont pas dessinés À l'écran. Si des données sensibles restent masquées (par exemple, une clé enregistrée qui n'est jamais affichée), Pixnapping n'a aucun moyen de les capturer. À l'inverse, les éléments que l'utilisateur laisse visibles, comme les phrases de récupération du portefeuille crypto, sont exposés s'ils restent affichés suffisamment longtemps.
Appareils concernés et portée
Les expériences portent sur Android 13 et 16 sur Pixel 6, 7, 8 et 9, et un Samsung Galaxy S25Sur les appareils Galaxy, le bruit graphique réduit l'efficacité, mais les chercheurs notent que des performances similaires peuvent être obtenues avec des ajustements, car les API impliquées sont largement disponibles dans l'écosystème.
L'équipe souligne que Pixnapping éviter les atténuations conçues pour le navigateur et peut également extraire des secrets d'applications natives. Cela étend la surface de risque au-delà du web et affecte toute application qui afficher des données sensibles sur l'écran.
Réponse de Google et état du correctif
Google a tenté de résoudre le problème en limitant le nombre d'activités pouvant être flou une application simultanément, mais le groupe a trouvé un moyen de contourner cet obstacle. L'entreprise a classé la faille comme gravité élevée, l'a récompensé dans son programme de bugs et maintient la coordination avec les fabricants pour déployer les correctifs.
Après atténuation partielle CVE-2025-48561, des renforcements supplémentaires sont attendus dans le bulletin de sécurité Android de décembre. Bien que le risque soit réel, à ce jour, il n'y a pas preuves publiques d’une exploitation active à grande échelle, et l’objectif est de fermer les vecteurs restants avec des changements plus profonds du système.
Comment se protéger pendant l'arrivée du règlement
Pendant que les correctifs sont stabilisés, il est judicieux de réduire l'exposition grâce à des mesures pratiques qui rendent les attaques difficiles et limitent l'impact en cas de compromission. Ces recommandations priorisent ce qui est montré à l'écran et l'origine des applications.
- Mettez à jour votre téléphone et vos applications dès que des correctifs sont disponibles ; donnez la priorité à ceux qui corrigent canaux latéraux ou des fuites d'écran.
- Installer uniquement à partir de Google Play et méfiez-vous des développeurs inconnus ; supprimez les applications suspectes pour protéger votre téléphone de Flipper Zero..
- Évitez de garder les codes TOTP visibles et phrases de récupération; si possible, ne les affichez pas sur les appareils connectés.
- Utiliser FIDO2/WebAuthn ou des clés de sécurité physiques au lieu de codes 2FA affichés sous forme de chiffres.
- Protégez l'authentificateur avec Code PIN ou biométrie et masquer le contenu sensible sur l'écran de verrouillage.
- Pour stocker les clés de crypto-monnaie, valorisez a portefeuille matériel qu'il signe sans exposer la phrase.
Questions rapides
Des autorisations spéciales sont-elles nécessaires ? Non. Une application malveillante peut fonctionner. sans permis accessibilité, captures d'écran ou root ; c'est là que réside une partie du danger.
Sur quels téléphones fonctionne-t-il ? Testé sur Pixel 6–9 et le Galaxy S25, mais l’approche pourrait être étendue à d’autres androïdes modernes en utilisant des API communes.
Peut-il capturer l'invisible ? Non. Seulement ce qui est rendu à l'écran est susceptible ; les secrets jamais révélés restent inattaquables.
Peut-on le détecter ? C'est difficile, car la méthode ne déclenche pas d'alertes visible. Maintenir votre système à jour et vérifier les applications installées réduit les risques.
Pixnapping prouve que le visible est aussi vulnérable Sur Android, une combinaison d'API et de signaux de rendu suffit à reconstruire les données sensibles si elles sont affichées à l'écran. Avec des correctifs en cours de développement et des mesures d'atténuation partielles déjà actives, la meilleure défense actuelle consiste à limiter l'exposition des informations critiques. méthodes d'authentification fortes et soyons extrêmement prudents avec les applications que nous installons.
