Une équipe de chercheurs universitaires vient de dévoiler une nouvelle classe d'attaque, baptisée "Pixnapping", capable de briser l'une des promesses fondamentales du système : l'isolation entre les applications.
En pratique, une application malveillante, même sans demander la moindre autorisation, peut espionner ce que les autres applications affichent à l'écran. Messages privés, informations de localisation et, plus grave encore, codes d'authentification à deux facteurs (2FA) sont désormais à la portée des pirates.
Comment une application peut-elle "voir" ce qu'une autre affiche ?
Le concept, baptisé Pixnapping, repose sur une attaque par canal auxiliaire (side-channel) qui exploite une vulnérabilité matérielle présente dans les processeurs graphiques (GPU). Cette faille, connue sous le nom de GPU.zip, permet de déduire la couleur d'un pixel en mesurant le temps de rendu d'une opération graphique.
L'application malveillante superpose une fenêtre transparente sur l'application ciblée et, en analysant les infimes variations de temps de rendu pour chaque coordonnée, elle peut reconstruire, pixel par pixel, ce qui est affiché en dessous. C'est l'équivalent d'une capture d'écran furtive, réalisée sans aucune autorisation.
Quelles sont les données les plus menacées par cette attaque ?
Le vol de codes 2FA (authentification à deux facteurs) depuis des applications comme Google Authenticator est particulièrement préoccupant. Les chercheurs ont démontré qu'ils pouvaient récupérer un code à 6 chiffres en moins de 30 secondes, soit avant son expiration. Mais la menace est bien plus large. Théoriquement, tout ce qui est visible à l'écran peut être volé :
- Vos conversations sur des messageries comme Signal.
- Vos e-mails affichés dans Gmail.
- Votre historique de localisation dans Google Maps.
Le principal danger vient du fait que l'application pirate n'a besoin d'aucune permission pour fonctionner, ce qui la rend extrêmement difficile à détecter pour un utilisateur lambda.
Google a-t-il corrigé la faille ?
Alerté par les chercheurs, Google a réagi en publiant un premier correctif partiel dans le bulletin de sécurité d'Android de septembre (CVE-2025-48561). Cependant, les chercheurs affirment avoir déjà trouvé un moyen de contourner cette mitigation. Un patch plus complet est promis pour le bulletin de sécurité de décembre. La firme de Mountain View précise n'avoir, pour l'heure, détecté aucune exploitation de cette faille "dans la nature".
Toutefois, le problème de fond demeure. La vulnérabilité GPU.zip, qui affecte le matériel lui-même, n'a pas été corrigée par les fabricants de puces. Les correctifs actuels sont donc des solutions logicielles qui tentent de limiter l'exploitation de la faille, sans l'éradiquer à la source.
Foire Aux Questions (FAQ)
Quels sont les smartphones Android concernés ?
L'attaque a été démontrée avec succès sur les Google Pixel 6, 7, 8 et 9, ainsi que sur le Samsung Galaxy S25. Cependant, comme la faille est liée à la conception des GPU, de très nombreux autres modèles de différentes marques sont potentiellement vulnérables.
Comment puis-je me protéger de l'attaque Pixnapping ?
La protection repose entièrement sur Google. La seule chose à faire est d'installer les mises à jour de sécurité Android dès qu'elles sont disponibles sur votre appareil. En parallèle, la règle d'or reste de n'installer que des applications provenant de sources fiables, comme le Google Play Store, bien que cette attaque montre qu'une application d'apparence inoffensive pourrait être malveillante.
Cette attaque est-elle facile à mettre en œuvre ?
Non, c'est une attaque complexe qui demande une expertise technique pointue. Le vol de codes 2FA, par exemple, est une course contre la montre qui n'aboutit pas à tous les coups. Cependant, elle démontre une faille fondamentale dans l'architecture de sécurité d'Android, qui pourrait être exploitée de manière plus fiable à l'avenir.
