L’attaque Pixnapping rend Android vulnérable au vol de données sensibles

Des chercheurs ont découvert une vulnérabilité critique dans Android qui permet à des applications malveillantes d’extraire des informations sensibles à partir d’autres applications. L’attaque, baptisée Pixnapping, peut notamment intercepter des phrases de récupération de portefeuilles crypto et des codes d’authentification à deux facteurs (2FA), sans que les utilisateurs ne s’en aperçoivent.

Comment fonctionne l’attaque Pixnapping

L’attaque Pixnapping détourne certaines API Android, ces interfaces techniques par lesquelles les applications communiquent avec le système d’exploitation. Des applications malveillantes les exploitent pour analyser la couleur de pixels individuels à l’écran. En répétant l’opération des milliers de fois par seconde, le malware peut reconstituer, étape par étape, ce qui est affiché.

Il ne s’agit pas d’un enregistrement d’écran classique, que la sécurité d’Android bloque. À la place, l’attaque empile des fenêtres semi-transparentes au‑dessus de l’application ciblée, en ne laissant visible qu’un seul pixel. En observant et en manipulant ce pixel, le malware peut déduire ce qui se trouve en dessous, comme des codes de vérification ou des informations de récupération.

Les chercheurs testent l’attaque sur Google et Samsung

Les chercheurs ont testé Pixnapping sur cinq appareils Android : les Google Pixel 6, 7, 8, 9 et le Samsung Galaxy S25. L’attaque a fonctionné sur tous les appareils, même si son efficacité variait selon le modèle.

Selon le rapport, l’attaque a réussi à reconstruire correctement l’intégralité du code 2FA à 6 chiffres dans 73 %, 53 %, 29 % et 53 % des tests sur les Pixel 6, 7, 8 et 9, respectivement. Le temps moyen nécessaire par code reconstitué variait entre 14 et 26 secondes.

Même si le déchiffrement d’une phrase de récupération complète de portefeuille crypto prendrait beaucoup plus de temps, le risque persiste lorsque les utilisateurs laissent ces phrases affichées longtemps à l’écran.

Réaction de Google et Samsung

Google a tenté de corriger la vulnérabilité en limitant le nombre d’activités d’écran superposées qu’une application est autorisée à exécuter simultanément. Les chercheurs ont toutefois découvert que Pixnapping fonctionne toujours malgré cette mesure.

Ils indiquent : “Au 13 octobre, nous sommes toujours en discussion avec Google et Samsung au sujet des délais de divulgation et des mesures à prendre.”

Google a qualifié le problème de très grave et a promis une prime pour cette découverte. Samsung a également été averti, car, selon les chercheurs, le correctif déployé par Google n’offre pas une protection suffisante pour les appareils Samsung.

Conseils aux utilisateurs d’Android

Il est recommandé aux utilisateurs de ne pas afficher d’informations sensibles, telles que des phrases de récupération de portefeuille crypto ou des codes de sécurité, sur des appareils Android. Pour la gestion des actifs crypto, il est particulièrement plus prudent d’utiliser un hardware wallet.

Un hardware wallet est un appareil physique qui signe les transactions en toute sécurité, sans que les clés privées ou les phrases de récupération ne soient jamais exposées sur Internet.

Le chercheur en sécurité Vladimir S a mis en garde, en conclusion, sur X:
“N’utilisez tout simplement pas votre téléphone pour sécuriser vos cryptos. Utilisez un hardware wallet.”