Des chercheurs académiques ont révélé une nouvelle vulnérabilité Android appelée Pixnapping qui permet aux applications malveillantes de voler des codes 2FA, des messages privés et d'autres données visibles sans nécessiter d'autorisations. L'attaque, qui prend moins de 30 secondes, exploite les temps de rendu d'écran et a été démontrée sur des téléphones Google Pixel et le Samsung Galaxy S25. Google a publié des atténuations partielles, avec des correctifs supplémentaires prévus.
L'attaque Pixnapping nécessite qu'une victime installe une application malveillante, qui utilise ensuite les interfaces de programmation Android pour déclencher l'affichage d'informations sensibles par les applications ciblées sur l'écran. Sans autorisations spéciales, l'application effectue des opérations graphiques sur des pixels spécifiques et mesure les temps de rendu pour reconstruire les données pixel par pixel, agissant efficacement comme une capture d'écran non autorisée.
"Tout ce qui est visible lorsque l'application cible est ouverte peut être volé par l'application malveillante via Pixnapping," ont déclaré les chercheurs sur leur site d'information. Cela inclut les messages de chat, les codes 2FA et le contenu des e-mails, mais pas les données cachées comme les clés secrètes stockées.
Le processus se déroule en trois étapes : premièrement, l'application malveillante invoque des API telles que les activités, les intents et les tâches pour scanner et ouvrir les applications ciblées, envoyant leurs données vers le pipeline de rendu. Deuxièmement, elle vérifie les couleurs des pixels aux coordonnées choisies, distinguant le blanc du non-blanc en superposant des fenêtres malveillantes. Troisièmement, elle combine les mesures de temps de rendu pour reconstruire l'image.
Les chercheurs ont testé l'attaque sur des téléphones Google Pixel 6, 7, 8 et 9, récupérant avec succès des codes 2FA complets de 6 chiffres de Google Authenticator dans 73 %, 53 %, 29 % et 53 % des essais, respectivement, avec une moyenne de 14 à 26 secondes. Elle était moins efficace sur le Samsung Galaxy S25 en raison du bruit. L'auteur principal, Alan Linghao Wang, a expliqué : « Cela permet à une application malveillante de voler des informations sensibles affichées par d'autres applications ou sites web arbitraires, pixel par pixel. »
Pixnapping fait écho à l'attaque GPU.zip de 2023, qui utilisait des canaux latéraux GPU similaires mais a été atténuée dans les navigateurs. Google a publié un correctif pour CVE-2025-48561 en septembre, abordant partiellement le problème, avec un autre en décembre. Un porte-parole de Google a noté : « Nous n'avons pas vu de preuves d'exploitation dans la nature. » La recherche met en lumière les limites de l'isolation des applications Android, bien que les défis d'implémentation dans le monde réel puissent réduire sa praticabilité.