- Pixnapping peut voler des codes 2FA et d'autres données à l'écran en moins de 30 secondes sans autorisation.
- Il fonctionne en abusant des API Android et d'un canal latéral GPU pour déduire les pixels d'autres applications.
- Testé sur Pixel 6-9 et Galaxy S25 ; le patch initial (CVE-2025-48561) ne le bloque pas complètement.
- Il est recommandé d'utiliser FIDO2/WebAuthn, de minimiser les données sensibles à l'écran et d'éviter les applications provenant de sources douteuses.
Une équipe de chercheurs a révélé Pixnapping, un Technique d'attaque contre les téléphones Android capable de capturer ce qui est affiché à l'écran et d'extraire des données privées tels que des codes 2FA, des messages ou des emplacements en quelques secondes et sans demander la permission.
La clé est d'abuser de certaines API système et d'un canal latéral du GPU pour déduire le contenu des pixels que vous voyez ; le processus est invisible et efficace tant que l'information reste visible, tandis que Les secrets qui ne sont pas affichés à l'écran ne peuvent pas être volés. Google a introduit des mesures d'atténuation associées à CVE-2025-48561, mais les auteurs de la découverte ont démontré des voies d'évasion, et un renforcement supplémentaire est attendu dans le bulletin de sécurité Android de décembre.
Qu'est-ce que Pixnapping et pourquoi est-ce une préoccupation ?
Le nom combine « pixel » et « enlèvement » parce que l'attaque fait littéralement un « détournement de pixels » Pour reconstruire les informations qui apparaissent dans d'autres applications. Il s'agit d'une évolution des techniques de canaux auxiliaires utilisées il y a des années dans les navigateurs, désormais adaptées à l'écosystème Android moderne, avec une exécution plus fluide et plus silencieuse.
Comme cela ne nécessite pas de permis spéciaux, Pixnapping évite les défenses basées sur le modèle d'autorisation et fonctionne de manière presque invisible, ce qui augmente le risque pour les utilisateurs et les entreprises qui comptent en partie sur leur sécurité pour ce qui apparaît fugitivement à l’écran.
Comment l'attaque est exécutée
En termes généraux, l’application malveillante orchestre une activités qui se chevauchent et synchronise le rendu pour isoler des zones spécifiques de l'interface où les données sensibles sont affichées ; puis exploite la différence de temps lors du traitement des pixels pour déduire leur valeur (voir comment Les profils de puissance affectent le FPS).
- Force l'application cible à afficher les données (par exemple, un code 2FA ou un texte sensible).
- Masque tout sauf la zone d’intérêt et manipule le cadre de rendu de sorte qu’un pixel « domine ».
- Interprète les temps de traitement du GPU (par exemple, phénomène de type GPU.zip) et reconstruit le contenu.
Avec la répétition et la synchronisation, le malware déduit les caractères et les réassemble en utilisant Techniques OCRLa fenêtre temporelle limite l'attaque, mais si les données restent visibles pendant quelques secondes, la récupération est possible.
Portée et appareils concernés
Les universitaires ont vérifié la technique en Google Pixel 6, 7, 8 et 9 et dans le Samsung Galaxy S25, avec les versions Android 13 à 16. Étant donné que les API exploitées sont largement disponibles, ils avertissent que « presque tous les androïdes modernes » pourrait être susceptible.
Lors des tests avec des codes TOTP, l'attaque a récupéré l'intégralité du code avec des taux d'environ 73 %, 53 %, 29 % et 53 % sur Pixel 6, 7, 8 et 9, respectivement, et dans des délais moyens proches de 14,3 s ; 25,8 s ; 24,9 s et 25,3 s, vous permettant d'anticiper l'expiration des codes temporaires.
Quelles données peuvent tomber
En plus de codes d'authentification (Google Authenticator), les chercheurs ont montré la récupération d'informations à partir de services tels que les comptes Gmail et Google, les applications de messagerie telles que Signal, les plateformes financières telles que Venmo ou les données de localisation de Google Mapsentre autres.
Ils vous alertent également sur les données qui restent à l’écran pendant de longues périodes, telles que phrases de récupération de portefeuille ou des clés à usage unique ; cependant, les éléments stockés mais non visibles (par exemple, une clé secrète qui n'est jamais affichée) sont hors de portée de Pixnapping.
Réponse de Google et état des correctifs
La découverte a été communiquée à l'avance à Google, qui a qualifié le problème de gravité élevée et a publié une première atténuation associée à CVE-2025-48561Cependant, les chercheurs ont trouvé des méthodes pour y échapper, Un patch supplémentaire a été promis dans la newsletter de décembre et la coordination avec Google et Samsung est maintenue.
La situation actuelle suggère qu'un blocage définitif nécessitera une révision de la façon dont Android gère rendu et superpositions entre les applications, puisque l’attaque exploite précisément ces mécanismes internes.
Mesures d'atténuation recommandées
Pour les utilisateurs finaux, il est conseillé de réduire l'exposition des données sensibles à l'écran et d'opter pour une authentification et des canaux auxiliaires résistants au phishing, tels que FIDO2/WebAuthn avec clés de sécurité, en évitant autant que possible de dépendre exclusivement des codes TOTP.
- Maintenir l'appareil à jour et appliquer les bulletins de sécurité dès qu’ils sont disponibles.
- Évitez d'installer des applications à partir de sources non vérifiées et examiner les autorisations et les comportements anormaux.
- Ne gardez pas les phrases de récupération ou les informations d'identification visibles ; préférez portefeuilles matériels pour garder les clés.
- Verrouiller l'écran rapidement et limiter les aperçus de contenu sensible.
Pour les équipes de produits et de développement, il est temps de examiner les flux d'authentification et réduire la surface d'exposition : minimiser le texte secret à l'écran, introduire des protections supplémentaires dans les vues critiques et évaluer la transition vers méthodes sans code basé sur le matériel.
Bien que l'attaque nécessite que l'information soit visible, sa capacité à fonctionner sans permission et en moins d'une demi-minute en fait une menace sérieuse : une technique de canal auxiliaire qui exploite la Temps de rendu GPU pour lire ce que vous voyez à l'écran, avec des atténuations partielles aujourd'hui et une correction plus profonde en attente.
Je suis un passionné de technologie qui a fait de ses intérêts de « geek » un métier. J'ai passé plus de 10 ans de ma vie à utiliser des technologies de pointe et à bricoler toutes sortes de programmes par pure curiosité. Aujourd'hui, je me spécialise dans l'informatique et les jeux vidéo. En effet, depuis plus de 5 ans, j'écris pour différents sites Web sur la technologie et les jeux vidéo, créant des articles qui cherchent à vous donner les informations dont vous avez besoin dans un langage compréhensible par tous.
Si vous avez des questions, mes connaissances s'étendent de tout ce qui concerne le système d'exploitation Windows ainsi qu'Android pour les téléphones mobiles. Et mon engagement est envers vous, je suis toujours prêt à consacrer quelques minutes et à vous aider à résoudre toutes les questions que vous pourriez avoir dans ce monde Internet.