Une équipe de chercheurs a découvert une nouvelle catégorie d'attaques Android qui permettent de voler discrètement des informations sensibles affichées par d'autres applications ou même des sites web. Cette attaque, baptisée « Pixnapping », exploite à la fois les fonctionnalités du système d'exploitation Android et un canal latéral matériel pour extraire les données affichées à l'écran, telles que les codes d'authentification à deux facteurs (2FA), les messages privés et les informations financières, sans que les utilisateurs ne se rendent compte que leurs données ont été compromises. Android est un système d'exploitation basé sur une version modifiée du noyau Linux et d'autres logiciels open source, conçu principalement pour les appareils mobiles à écran tactile tels que les smartphones et les tablettes. Android a été développé par un consortium de développeurs connu sous le nom d'Open Handset Alliance, mais sa version la plus utilisée est principalement développée par Google. Lancé pour la première fois en 2008, Android est le système d'exploitation le plus utilisé au monde ; c'est le système d'exploitation le plus utilisé pour les smartphones, mais aussi pour les tablettes; la dernière version, sortie le 10 juin 2025, est Android 16.
Récemment, une équipe de chercheurs dirigée par Riccardo Paccagnella, professeur adjoint au département des systèmes logiciels et sociétaux (S3D) de l'université Carnegie Mellon, a découvert une nouvelle catégorie d'attaques Android qui permettent de voler discrètement des informations sensibles affichées par d'autres applications ou même des sites web. Cette attaque, baptisée « Pixnapping », exploite à la fois les fonctionnalités du système d'exploitation Android et un canal latéral matériel pour extraire les données affichées à l'écran, telles que les codes d'authentification à deux facteurs (2FA), les messages privés et les informations financières, sans que les utilisateurs ne se rendent compte que leurs données ont été compromises.
Le pixnapping permet à une application Android malveillante de « capturer » des pixels provenant d'autres applications ou sites web en exploitant les API Android et un canal latéral matériel GPU connu sous le nom de « GPU.zip », qui divulgue des informations sur la manière dont le matériel graphique traite les données visuelles. Les chercheurs ont démontré la réussite d'attaques sur des téléphones Google et Samsung modernes, notamment les Pixel 6 à Pixel 9 et le Galaxy S25, fonctionnant sous Android versions 13 à 16.
Lors des tests de validation, Pixnapping a permis de récupérer des informations sensibles à partir d'applications et de sites web largement utilisés tels que Signal, Venmo, Google Authenticator, Gmail, Google Maps et Google Accounts. Plus frappant encore, une application malveillante pouvait voler les codes 2FA de Google Authenticator en moins de 30 secondes, sans nécessiter aucune autorisation Android ni afficher d'activité suspecte à l'utilisateur.
« Conceptuellement, c'est comme si n'importe quelle application pouvait prendre une capture d'écran d'autres applications ou sites web sans autorisation, ce qui constitue une violation fondamentale du modèle de sécurité d'Android », a déclaré Paccagnella.
En février, l'équipe de recherche a communiqué ses conclusions à Google, qui a classé Pixnapping comme une vulnérabilité « haute gravité » et a commencé à la suivre sous le numéro CVE-2025-48561 dans le système CVE (Common Vulnerabilities and Exposures). Google a tenté d'atténuer le problème en restreignant l'accès à certaines API, mais l'équipe de recherche a ensuite découvert une solution de contournement qui a restauré l'efficacité de l'attaque. Au 13 octobre 2025, Android reste vulnérable.
« Pour corriger le Pixnapping, il faudra probablement modifier les mécanismes fondamentaux d'Android, par exemple en permettant aux applications d'empêcher d'autres applications de superposer leur contenu sensible », explique Paccagnella. Il prévient que, comme les mécanismes fondamentaux utilisés par le Pixnapping sont généralement disponibles sur tous les appareils Android, la vulnérabilité touche probablement un large éventail de smartphones de différents fabricants.
Pour prévenir le Pixnapping, les chercheurs recommandent aux utilisateurs de mettre à jour leurs appareils Android avec les derniers correctifs dès leur publication. L'équipe prévoit de publier le code source du Pixnapping dès que des correctifs efficaces seront disponibles, afin de soutenir la recherche universitaire et les défenses de l'industrie. Vous pouvez obtenir les dernières mises à jour et informations sur le projet via son site webOuvre dans une nouvelle fenêtre.
Voici les informations partagées par l'équipe de chercheurs :
Questions et Réponses
Quels sont les appareils concernés ? Nous avons testé Pixnapping sur cinq appareils fonctionnant sous Android versions 13 à 16 (jusqu'à l'identifiant de build BP3A.250905.014) : Google Pixel 6, Google Pixel 7, Google Pixel 8, Google Pixel 9 et Samsung Galaxy S25.
Nous n'avons pas confirmé si les appareils Android d'autres fabricants sont concernés par Pixnapping. Cependant, les mécanismes fondamentaux permettant l'attaque sont généralement disponibles sur tous les appareils Android.
Quelles sont les conditions requises pour l'attaque ? Toute application Android en cours d'exécution peut lancer cette attaque, même si elle ne dispose d'aucune autorisation Android (c'est-à-dire qu'aucune autorisation n'est spécifiée dans son fichier manifeste).
Quelles informations l'attaque permet-elle de voler ? Tout ce qui est visible lorsque l'application cible est ouverte peut être volé par l'application malveillante utilisant Pixnapping. Les messages de chat, les codes 2FA, les e-mails, etc. sont tous vulnérables puisqu'ils sont visibles.
Si une application contient des informations secrètes qui ne sont pas visibles (par exemple, une clé secrète qui est stockée mais qui n'apparaît jamais à l'écran), ces informations ne peuvent pas être volées par Pixnapping.
Le Pixnapping est-il utilisé dans la nature ? Nous ne le savons pas.
Je suis un utilisateur. Comment puis-je me protéger ? Veillez à installer les correctifs Android dès qu'ils sont disponibles.
Je suis développeur d'applications. Comment puis-je protéger mes utilisateurs ? Nous ne connaissons pas de stratégies d'atténuation pour protéger les applications contre le Pixnapping. Si vous avez des idées d'atténuation, veuillez nous en faire part et nous mettrons à jour cette section.
Comment fonctionne Pixnapping ? Une application malveillante peut lancer une attaque Pixnapping en trois étapes :
- Appeler une application cible (par exemple, Google Authenticator) pour provoquer la soumission d'informations sensibles à des fins de rendu. Cette étape est décrite dans la section 3.1 du document.
- Provoquer des opérations graphiques sur des pixels sensibles individuels rendus par l'application cible (par exemple, les pixels qui font partie de la zone de l'écran où un caractère 2FA est connu pour être rendu par Google Authenticator). Cette étape est décrite dans la section 3.2 du document.
- Utiliser un canal auxiliaire (par exemple, GPU.zip) pour voler les pixels sur lesquels l'étape 2 a été effectuée, un pixel à la fois. Cette étape est décrite dans la section 3.3 du document.
Les étapes 2 et 3 sont répétées pour autant de pixels que nécessaire afin d'exécuter l'OCR sur les pixels récupérés et de récupérer le contenu d'origine. Conceptuellement, c'est comme si l'application malveillante prenait une capture d'écran du contenu de l'écran auquel elle ne devrait pas avoir accès.
Quelles API Android Pixnapping exploite-t-il ? Pixnapping force les pixels sensibles dans le pipeline de rendu et superpose des activités semi-transparentes sur ces pixels via des intentions Android. Pour induire des opérations graphiques sur ces pixels, nos instanciations utilisent l'API de flou de fenêtre d'Android. Pour mesurer le temps de rendu, nos instanciations utilisent des rappels VSync. Pour une explication plus détaillée, nous vous renvoyons à l'article.
Google prévoit-il de corriger ces API ? Google a tenté de corriger Pixnapping en limitant le nombre d'activités sur lesquelles une application peut invoquer le flou. Cependant,...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.