Grâce à une nouvelle technique, les cybercriminels peuvent reconstituer des écrans à partir de pixels pour obtenir des informations sensibles telles que les codes 2FA.
Des chercheurs ont découvert une nouvelle attaque sur Android permettant aux cybercriminels de voler en moins de trente secondes les codes d’authentification à deux facteurs, les messages de chat et d’autres informations d’écran. L’attaque s’appelle Pixnapping et exploite une vulnérabilité dans la façon dont Android effectue le rendu des images graphiques.
Application sans droits, mais dangereuse
Pixnapping nécessite seulement que la victime installe une application infectée. Cette application n’a besoin d’aucun droit système supplémentaire, mais peut tout de même « lire » les pixels d’autres applications grâce à de subtiles erreurs de mesure dans le processeur graphique. Elle peut ainsi par exemple reconstituer des chiffres de l’application Google Authenticator ou des parties de messages d’une fenêtre de chat.
L’attaque fonctionne en mesurant le temps nécessaire pour afficher certains pixels. Ces différences de temps révèlent la couleur du pixel et permettent de reconstituer le contenu image par image. Lors de tests, les chercheurs ont réussi à déchiffrer des codes 2FA complets sur des téléphones Pixel, parfois en moins de 25 secondes.
Google travaille sur un correctif
Google a partiellement corrigé la faille (CVE-2025-48561) dans le correctif de septembre et publiera une mise à jour supplémentaire en décembre, indique Google à Ars Technica. Pour l’instant, il n’y a aucune preuve que l’attaque ait été exploitée, mais les experts recommandent d’installer immédiatement les mises à jour et d’éviter les applications inconnues.