Une faille inédite nommée Pixnapping permet à une application malveillante sous Android — sans aucune permission — de dérober des contenus visuels d’autres apps (codes 2FA, messages, mails) en moins de 30 secondes.
💥 L’attaque s’opère en trois étapes clés :
1/ L’application malveillante invoque l’application ciblée pour forcer le rendu à l’écran de l’information sensible
2/ Elle effectue des opérations graphiques sur des pixels spécifiques
3/ Elle utilise un canal auxiliaire (lié au GPU, via une technique apparentée à GPU.zip) pour mesurer les temps de rendu et reconstituer le contenu pixel par pixel
Les chercheurs ont démontré l’exploit sur des smartphones Google Pixel et Samsung Electronics GALAXY S25 (cf crédit photo Samsung), sur les versions Android 13 à 16. Selon les tests, le taux de récupération des codes varie entre 29 % et 73 % selon le modèle.
Google a dĂ©jĂ dĂ©ployĂ© pour Android un correctif partiel (CVE-2025-48561), mais les chercheurs affirment l’avoir contournĂ©. Un correctif plus robuste est attendu en fin d’annĂ©e.
💡 Pourquoi c’est crucial pour nous ?
Cette vulnérabilité remet en question le fondement même de l’isolation des applications dans Android : un système voudrait empêcher qu’une application lise l’écran d’une autre, mais Pixnapping exploite précisément un mécanisme de rendu commun. Cette menace nous force à reconsidérer nos stratégies de protection visuelle, d’obfuscation d’interface ou d’isolation renforcée des données sensibles.
👉 Se prĂ©munir de ce type de risque passe par une sensibilisation sur les risques « visuels » en mobilitĂ©, en direction des DPO et RSSI. Faisons en sorte que ce genre de faille ne devienne pas un vecteur de choix d’attaque !
đź”— Source Ars Technica : https://arstechnica.com/security/2025/10/no-fix-yet-for-attack-that-lets-hackers-pluck-2fa-codes-from-android-phones/
📷 Crédit : Samsung Electronics
