Une nouvelle attaque visant Android permet de contourner les systèmes de sécurité et de lire n’importe quelle information affichée à l’écran. Baptisée pixnapping, elle pourrait voler des codes d’authentification à deux facteurs, des informations bancaires et des messages privés.
Une équipe de chercheurs de plusieurs universités américaines a mis au point une nouvelle catégorie de cyberattaques visant les appareils sous AndroidAndroid. Les smartphones et tablettes disposent d'un système de sécurité qui empêche les captures d'écran pour les applicationsapplications sensibles. Toutefois, la technique, baptisée pixnapping, contourne cette protection en « kidnappant » les pixels directement.
Les chercheurs se sont appuyés sur GPU.zip, une attaque découverte en 2023 sur les PC qui permet d'accéder au contenu de l'écran exploitant un canal auxiliaire au niveau de la carte graphiquecarte graphique. Pour mener l'attaque, l'appareil doit d'abord être infecté par une application malveillante en utilisant des techniques plus classiques. Une fois l'appareil compromis, le malwaremalware ouvre une application contenant des informations sensibles, puis ajoute un floutage transparenttransparent sur le pixel à lire. Ceci oblige le système à effectuer un calcul sur le rendu du pixel, une opération qui peut être détectée via les signaux VSync d’Android.
L’attaque peut voler un code Google Authenticator en 30 secondes, tout en cachant l’attaque derrière un texte. © Michael Kan
Une attaque qui peut voler toute information affichée à l’écran
L'attaque construit ainsi une image du contenu à l'écran, un pixel à la fois. Pour que l'attaque reste invisible pour l'utilisateur, les chercheurs ont affiché un contenu recouvrant l'activité, qui n'a besoin d'être que très légèrement transparent (1 %). La technique n'est pas rapide et nécessite de savoir d'avance quelle application sera visée pour savoir exactement à quel endroit de l'écran les informations sensibles seront affichées. Les chercheurs ont ainsi réussi à obtenir un code à usage unique de Google AuthenticatorGoogle Authenticator en 30 secondes. Il est ainsi possible de voler les codes d'authentification à deux facteursauthentification à deux facteurs, les messages, les e-mails, les contenus des applications bancaires, ou toute autre information affichée à l'écran.
Les chercheurs ont pu démontrer cette attaque sur plusieurs modèles de smartphones Pixel, ainsi que sur un SamsungSamsung Galaxy S25, et elle devrait pouvoir être adaptée à d'autres appareils mobiles sous Android. Heureusement, Google affirme ne pas avoir détecté d'applications pratiquant le pixnapping pour l'instant, et après un premier correctif pour la faille CVE-2025-48561 en septembre, la firme prévoir un second correctif en décembre pour bloquer cette attaque.
.png)
8 months ago
English (United States) ·
French (France) ·