Pixnapping — nouvelle attaque Android volant les pixels à la souris (Ars Technica, 13 oct. 2025)
Une équipe académique a présenté Pixnapping, une attaque Android capable de voler codes 2FA, messages et autres données visibles à l’écran en moins de 30 secondes, même si l’application malveillante n’a aucune permission système. L’attaque a été démontrée sur plusieurs téléphones Pixel et sur le Samsung Galaxy S25, et repose sur un canal auxiliaire temporel lié au rendu graphique : en exécutant des opérations graphiques sur des coordonnées précises et en mesurant les temps de rendu, l’appli malveillante peut déduire le contenu pixel par pixel de l’app cible (par ex. un chiffre 2FA).
Le scénario en trois étapes décrit par les chercheurs : (1) l’appli malveillante invoque l’app cible via des APIs Android pour provoquer l’affichage de contenus sensibles ; (2) elle « dessine par-dessus » ces contenus et lance des opérations graphiques ciblées ; (3) elle mesure le temps de rendu pour chaque coordonnée et reconstitue l’image. Les essais montrent que l’attaque peut retrouver un code TOTP 6 chiffres : taux de succès variable selon modèle (ex. ~73% Pixel 6, ~53% Pixel 7, ~25% Pixel 8/9) et temps moyen de récupération compris entre ~14 et ~26 s selon modèle — parfois insuffisant (échec sur S25 en l’état). Les chercheurs notent que différentes implémentations du canal auxiliaire pourraient étendre la portée de l’attaque.
Google a publié des mesures d’atténuation (patch CVE-2025-48561 cité dans le bulletin de sécurité de septembre) et prévoit un patch supplémentaire en décembre ; les chercheurs indiquent toutefois qu’une version modifiée de l’attaque peut contourner certaines mitigations. Google précise n’avoir pas observé d’exploitation « in the wild ». Les auteurs insistent sur le fait que Pixnapping souligne une limitation fondamentale : une appli installée peut, via des canaux auxiliaires, obtenir des informations visuelles d’autres applis malgré les garanties d’isolation.
Pour les équipes opérationnelles et les utilisateurs : (1) appliquer immédiatement les mises à jour Android (bulletins de sécurité), (2) éviter d’installer des applis non vérifiées ou provenant de sources externes, (3) limiter et surveiller les applis capables d’ouvrir des fenêtres/overlays, et (4) favoriser des méthodes d’authentification moins dépendantes d’affichages temporaires à l’écran (ex. clés matérielles FIDO / notifications push plutôt que seuls codes TOTP affichés). Sur le plan développeur, les éditeurs d’applis sensibles devraient réexaminer le traitement des affichages sensibles et envisager des approches d’atténuation côté UI (par ex. réduire la fenêtre d’affichage des codes, éviter l’affichage clair de secrets lorsque possible).
Source : Dan Goodin, Ars Technica, 13 octobre 2025 — “Pixnapping: Malicious Android app with no permissions can steal 2FA codes and screen content via pixel-timing side channel.”
🔗 Source originale : https://arstechnica.com/security/2025/10/no-fix-yet-for-attack-that-lets-hackers-pluck-2fa-codes-from-android-phones/