Selon Ars Technica (Dan Goodin), des chercheurs ont présenté « Pixnapping », une nouvelle attaque ciblant Android qui exploite un canal auxiliaire graphique pour reconstituer, pixel par pixel, des informations affichées par d’autres apps. Google a publié une mitigation partielle en septembre (CVE-2025-48561) et prépare un correctif additionnel en décembre, sans signe d’exploitation active.

• Nature de l’attaque: attaque par canal auxiliaire (timing de rendu GPU, liée à GPU.zip) permettant de déduire la couleur de pixels d’apps affichées en arrière-plan, comme si une capture d’écran non autorisée était réalisée. Le malware ne requiert aucune permission et cible tout contenu visible: codes 2FA, messages, emails, etc. Les données non affichées ne sont pas exposées.

• Méthode en 3 étapes (📱🔍⏱️):

  1. Invocation d’APIs Android (activities, intents, tasks) pour ouvrir l’app cible et afficher du contenu sensible (p. ex. un thread de messagerie ou un code 2FA), et pour détecter les apps installées d’intérêt.
  2. Superposition graphique (« draw over ») d’activités malveillantes afin d’induire un canal auxiliaire GPU.zip dont le comportement varie selon la couleur du pixel (c ou non-c).
  3. Mesure du temps de rendu par frame pour inférer la couleur à des coordonnées choisies, et reconstruction de l’image pixel par pixel.

• Portée et résultats: Démonstrations sur Google Pixel 6/7/8/9 et Samsung Galaxy S25 (ce dernier trop bruité dans l’état pour voler un code 2FA en 30 s). Sur Google Authenticator, récupération complète du code 2FA à 6 chiffres dans 73% (Pixel 6), 53% (Pixel 7), 29% (Pixel 8) et 53% (Pixel 9) des essais, en ~14,3 s (P6), 25,8 s (P7), 24,9 s (P8), 25,3 s (P9). L’attaque réduit les échantillons par pixel (16) et l’intervalle d’inactivité (70 ms) pour respecter la fenêtre TOTP de 30 s.

• Mitigations et contexte: Google indique avoir patché CVE-2025-48561 (bulletin Android de septembre) avec une mitigation partielle et annonce un patch additionnel en décembre; aucune exploitation in-the-wild observée. Le vecteur rappelle GPU.zip (2023), dont les vulnérabilités GPU sous-jacentes n’ont pas été corrigées côté matériel, mais contournées côté navigateurs (restrictions d’iframes). Les chercheurs précisent que Pixnapping reste possible en adaptant les étapes 2 et 3 à d’autres canaux auxiliaires.

• Finalité de l’article: article de presse spécialisé présentant une publication de recherche et ses démonstrations, les mitigations en cours et les limites pratiques de l’attaque.

🔗 Source originale : https://arstechnica.com/security/2025/10/no-fix-yet-for-attack-that-lets-hackers-pluck-2fa-codes-from-android-phones/

🖴 Archive : https://web.archive.org/web/20251019192743/https://arstechnica.com/security/2025/10/no-fix-yet-for-attack-that-lets-hackers-pluck-2fa-codes-from-android-phones/