|
Getting your Trinity Audio player ready...
|
- Découverte d’une nouvelle cyberattaque, « Pixnapping », volant des pixels pour subtiliser des données sensibles sur Android.
- La technique cible codes 2FA et historiques de localisation sans permissions particulières, via une application malveillante discrète.
- Exploitation d’une latence de rendu graphique pour déduire couleur des pixels et reconstituer visuellement les informations.
- Tests réussis sur Pixel et Galaxy récents ; Google déploie des correctifs, nouveau patch attendu d’ici décembre.
Des chercheurs américains ont mis au jour une nouvelle forme de cyberattaque, baptisée « Pixnapping », qui repose sur le vol discret de pixels. Cette technique sophistiquée exploite des vulnérabilités dans le système graphique des appareils Android pour dérober des données sensibles. Elle se révèle particulièrement efficace sur les modèles récents, y compris les Google Pixel et certains Samsung.
Ce concept de vol d’informations, qui ne prend que moins de 30 secondes, est suffisamment préoccupant pour mobiliser immédiatement les équipes de sécurité de Google.
Comment le vol de pixels fonctionne
Le « Pixnapping » s’attaque aux codes d’authentification à deux facteurs, aux historiques de localisation et à d’autres données confidentielles. L’opération nécessite qu’une application malveillante soit installée sur le téléphone de la victime. Notons qu’aucune autorisation spéciale ni comportement suspect visible n’est requis pour son fonctionnement.
L’application utilise d’abord le système d’Intents d’Android pour forcer l’ouverture de l’application cible contenant les données. Une fois l’information affichée à l’écran, le cœur de l’attaque se déclenche. Le logiciel malveillant applique un effet graphique très discret, comme un flou semi-transparent, sur des pixels précis.
Le secret de cette technique réside dans la puce graphique d’Android et sa gestion de la compression. Le délai nécessaire à l’affichage de cet effet graphique discret varie subtilement en fonction de la couleur ou de l’état du pixel d’origine.
En mesurant avec précision cette latence, l’application malveillante est capable de déduire la couleur exacte du pixel ciblé sans jamais y avoir eu un accès direct. En répétant cette opération des milliers de fois sur une zone donnée, elle peut reconstituer à l’identique le contenu confidentiel par exemple un code de validation de Google Authenticator en un temps record.
Google cherche l’antidote
Les chercheurs ont confirmé l’efficacité du Pixnapping en le testant sur cinq appareils exécutant Android 13 à 16, incluant les Google Pixel 6, 7, 8, 9 ainsi que le Samsung Galaxy S25. Les principes techniques à l’œuvre sont communs à la majorité des téléphones Android récents.
Google a indiqué prendre le sujet très au sérieux. Une première tentative de correctif a été déployée début septembre 2025 pour limiter les appels à l’API de floutage. Cependant, l’équipe de chercheurs affirme avoir déjà trouvé une parade à cette protection initiale. Le géant du web travaille activement à un nouveau correctif définitif, qui devrait être disponible d’ici le mois de décembre. Pour l’heure, Google affirme qu’aucune exploitation réelle de Pixnapping n’a été observée dans la nature.