Pixnapping, la nouvelle attaque sur Android qui peut vous voler toutes vos données

Messages, courriels, codes d'authentification... Autant d'informations que votre smartphone détient, affiche et qui peuvent être volées par des hackers à l'aide d'une nouveau type d'attaque. Son nom: Pixnapping. Elle rejoint la famille des attaques en pixel stealing, ou vol de pixel, découverte en 2013. Mise en lumière par des chercheurs des universités de Califonie (Berkeley et San Diego), de Washington et de Carnegie Mellon, elle ne concerne que les smartphones Android.

"Nous avons démontré des attaques de pixnapping sur des smartphones Google et Samsung et la récupération de bout en bout de données sensibles à partir de sites Web, notamment Gmail et Google Compte, et d'applications telles que Signal, Google Authenticator, Venmo et Google Maps", ont-ils indiqué.

Une capture d'écran non autorisée

Les chercheurs ont en effet testé leur attaque sur cinq smartphones tournant sous Android 13 à 16, à savoir les Google Pixel 6, 7, 8 et 9, ainsi que le Samsung Galaxy S25.

Pour commencer, l'attaque nécessite que la victime installe une application malveillante sur son smartphone, ce qui n'est pas forcément très compliqué à réussir pour un pirate ou cyber-attaquant. N'ayant besoin d'aucune autorisation de la part du système, celle-ci peut lire les données affichées à l'écran par toute autre application installée, tant qu'elle reste ouverte, même en tâche de fond.

Elle y parvient en ciblant les pixels de l'écran d'un smartphone. Elle invoque des interfaces de programation Android qui poussent l'application ciblée à envoyer des informations sensibles à l'écran de l'appareil. Elle provoque ensuite des opérations graphiques sur les pixels individuels qui intéressent l'attaquant. Dans le cas de Google Authenticator par exemple, ce sont les pixels faisant partie de la zone de l'écran où un caractère 2FA est affiché. Ils seront alors dérobés à l'aide d'un canal auxiliaire.

"Conceptuellement, c'est comme si l'application malveillante prenait une capture d'écran du contenu de l'écran auquel elle ne devrait pas avoir accès", ont expliqué les chercheurs.

Ils précisent d'ailleurs que le pixnapping contre Google Authenticator "permet à toute application malveillante de voler des codes 2FA en moins de 30 secondes tout en cachant l'attaque à l'utilisateur. Un élement important à prendre en compte vu que les applications de double authentification changent de code toutes les 30 secondes.

Les chercheurs ignorent si leur méthode a déjà été utilisée par des hackers ou si d'autres smartphones que ceux qu'ils ont testé sont aussi concernés. Mais ils estiment que pixnapping utilisant des API Android et un canal matériel, elle pourrait concerner pratiquement toute les appareils Android modernes.

Google a d'ores et déjà pris des mesures, commençant par déployer un correctif qui "atténue partiellement" le problème début septembre, comme l'a assuré l'entreprise auprès d'Ars Technica. Elle prévoit d'en publier un autre pour cette faille en décembre, même si, jusqu'à présent, elle n'a "constaté aucune preuve d'exploitation en situation réelle". Ces deux correctifs prouvent la réalité de la menace de pixnapping, même si le géant de Mountain View précise par ailleurs que pour fonctionner les attaquants ont besoin de connaître certaines informations spécifiques sur l'appareil. Néanmoins, comme le soulignent les chercheurs, c'est la première fois qu'une attaque en pixel stealing permet d'accéder à des données secrètes stockées localement, ce qui ouvre de nouvelles portes aux attaquants et élargit la surface d'attaque dans le cadre d'une campagne reposant sur l'ingénierie sociale, par exemple.