Devis de remise multi-licences
Données concernant les menaces Vulnérabilité Faille Android de Pixnapping

Faille Android de Pixnapping

Par Mezo en Vulnérabilité
Se traduisent par :

Des chercheurs en cybersécurité ont identifié une vulnérabilité critique affectant les appareils Android de Google et Samsung, baptisée Pixnapping. Cette attaque par canal auxiliaire permet à une application malveillante de voler discrètement des données sensibles, notamment des codes d'authentification à deux facteurs (2FA) et des chronologies Google Maps, en capturant des pixels de l'écran à l'insu de l'utilisateur. L'attaque opère pixel par pixel, ce qui la rend extrêmement précise et furtive.

Comment fonctionne Pixnapping : le vol de pixels à la base

Pixnapping est un framework de vol de pixels conçu pour contourner les mesures d'atténuation standard des navigateurs et cibler les applications hors navigateur comme Google Authenticator. Il exploite les API Android et un canal auxiliaire matériel pour capturer rapidement des informations sensibles. Les codes 2FA peuvent être extraits en moins de 30 secondes.

L'attaque exploite le pipeline de rendu d'Android d'une manière unique :

  • Une application malveillante force les pixels de la victime dans le pipeline de rendu à l'aide des intentions Android.
  • Il applique ensuite une pile d’activités Android semi-transparentes pour calculer sur ces pixels.

Cette méthodologie reflète les attaques de type « Stone », auparavant limitées aux navigateurs, désormais adaptées aux applications natives.

Appareils à risque et étendue de la vulnérabilité

L'étude a spécifiquement examiné cinq appareils Google et Samsung exécutant les versions Android 13 à 16. Bien que d'autres fabricants n'aient pas été testés, les principes sous-jacents de l'attaque existent sur tous les appareils Android, ce qui rend la plateforme largement vulnérable.

Il est remarquable que n'importe quelle application Android puisse exécuter Pixnapping sans autorisations spéciales dans son manifeste. Cependant, l'attaque nécessite que la victime installe et lance l'application malveillante, souvent par ingénierie sociale ou ruse.

Mécanique technique : canaux secondaires du GPU et failles de flou de fenêtre

Pixnapping s'appuie sur le canal auxiliaire GPU.zip, déjà dévoilé en septembre 2023, qui exploitait les fonctionnalités de compression des GPU intégrés pour voler des pixels multi-origines dans les navigateurs. La nouvelle attaque étend ce concept en le combinant à l'API de floutage de fenêtre d'Android, permettant ainsi le vol de pixels des applications victimes.

Le processus fonctionne comme suit :

  • Une application malveillante envoie les pixels de l’application victime dans le pipeline de rendu.
  • Les activités semi-transparentes sont superposées à l'aide d'intentions Android pour masquer, agrandir et transmettre des pixels ciblés.
  • Chaque pixel contenant des données sensibles est isolé et extrait séquentiellement.
  • Cela permet aux attaquants de reconstruire les codes 2FA ou d’autres contenus confidentiels pixel par pixel.

Pourquoi Android est vulnérable : trois facteurs favorisants

Les chercheurs ont identifié trois conditions qui rendent le Pixnapping possible :

  • Injection d’activités provenant d’autres applications dans le pipeline de rendu Android.
  • Induire des opérations graphiques (comme le flou) sur ces pixels.
  • Mesurer les effets secondaires dépendant de la couleur des pixels pour déduire des informations sensibles.

Réponse de Google et mises à jour de sécurité

Google a identifié Pixnapping sous la référence CVE-2025-48561 (CVSS 5.5). Un correctif a été publié dans le bulletin de sécurité Android de septembre 2025, atténuant partiellement l'attaque. Ce correctif corrige les scénarios où un flou excessif pourrait être utilisé pour voler des pixels.

Un deuxième correctif est prévu pour décembre 2025 afin de corriger un nouveau vecteur d'attaque qui réactive Pixnapping via des ajustements de timing. Google a indiqué que l'exploitation nécessite des données spécifiques à l'appareil et a confirmé qu'aucun logiciel malveillant actif n'exploite cette faille sur Google Play.

Risques supplémentaires : détection des applications et implications en matière de confidentialité

Pixnapping permet également à un attaquant de détecter les applications installées sur un appareil, contournant ainsi les restrictions mises en œuvre depuis Android 11 conçues pour masquer les listes d'applications.

Cette attaque met en évidence les risques inhérents à la superposition d'applications mobiles, un système où les applications interagissent de manière intensive sur l'ensemble du système d'exploitation. Restreindre totalement les fonctionnalités des applications en couches est irréaliste ; les défenses pourraient plutôt privilégier la désactivation des applications sensibles et limiter la capacité des attaquants à effectuer des mesures.

Principaux points à retenir pour les utilisateurs

Pixnapping est une attaque hautement furtive qui fonctionne sans nécessiter de droits d'accès élevés aux applications, ce qui la rend particulièrement insidieuse. Le risque augmente lorsque les utilisateurs installent des applications provenant de sources non fiables, car des applications malveillantes pourraient exploiter la vulnérabilité pour accéder à des informations sensibles. Bien que Google ait publié des correctifs partiels pour corriger le problème, une atténuation complète est attendue pour décembre 2025. En attendant, les utilisateurs doivent rester vigilants et surveiller attentivement leurs applications 2FA et autres données sensibles afin de détecter tout signe d'activité inhabituelle.

Tendance

Le plus regardé

Chargement...