{"id":23402,"date":"2025-11-27T18:05:33","date_gmt":"2025-11-27T16:05:33","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23402"},"modified":"2025-11-27T18:05:33","modified_gmt":"2025-11-27T16:05:33","slug":"pixnapping-cve-2025-48561","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/pixnapping-cve-2025-48561\/23402\/","title":{"rendered":"Vuln\u00e9rabilit\u00e9 Pixnapping : captures d’\u00e9cran impossibles \u00e0 bloquer sur votre t\u00e9l\u00e9phone Android"},"content":{"rendered":"

Android renforce constamment les restrictions relatives aux applications afin d\u2019emp\u00eacher les cybercriminels d\u2019utiliser des logiciels malveillants pour voler de l\u2019argent, des mots de passe et les secrets priv\u00e9s des utilisateurs. Cependant, une nouvelle vuln\u00e9rabilit\u00e9 baptis\u00e9e \u00ab\u00a0Pixnapping\u00a0\u00bb<\/a> parvient \u00e0 contourner toutes les couches de protection d\u2019Android et permet \u00e0 un pirate de lire imperceptiblement les pixels d\u2019une image \u00e0 l\u2019\u00e9cran, ce qui revient essentiellement \u00e0 prendre une capture d\u2019\u00e9cran. Une application malveillante sans aucune autorisation peut acc\u00e9der aux mots de passe, aux soldes bancaires, aux codes \u00e0 usage unique et \u00e0 tout autre \u00e9l\u00e9ment affich\u00e9 \u00e0 l\u2019\u00e9cran par son propri\u00e9taire. Heureusement, Pixnapping est actuellement un projet purement ax\u00e9 sur la recherche et n\u2019est pas encore exploit\u00e9 activement par des acteurs malveillants. Nous esp\u00e9rons que Google corrigera compl\u00e8tement cette vuln\u00e9rabilit\u00e9 avant que le code d\u2019attaque ne soit int\u00e9gr\u00e9 dans un programme malveillant en situation r\u00e9elle. \u00c0 l\u2019heure actuelle, la vuln\u00e9rabilit\u00e9 Pixnapping (CVE-2025-48561<\/a>) touche probablement tous les smartphones Android modernes, y compris ceux qui fonctionnent avec les derni\u00e8res versions d\u2019Android.<\/p>\n

Pourquoi les captures d\u2019\u00e9cran, la projection multim\u00e9dia et la lecture d\u2019\u00e9cran sont dangereuses<\/h2>\n

Comme le d\u00e9montre le logiciel malveillant SparkCat OCR<\/a> que nous avons d\u00e9couvert, les cybercriminels ma\u00eetrisent d\u00e9j\u00e0 le traitement d\u2019images. Si une image sur un smartphone contient une information pr\u00e9cieuse, le programme malveillant peut la d\u00e9tecter, effectuer une reconnaissance optique des caract\u00e8res directement sur le t\u00e9l\u00e9phone, puis exfiltrer les donn\u00e9es extraites vers le serveur du pirate informatique. SparkCat est particuli\u00e8rement int\u00e9ressant, car il a r\u00e9ussi \u00e0 s\u2019infiltrer dans les boutiques d\u2019applications officielles, y compris l\u2019App Store. Il ne serait pas difficile pour une application malveillante exploitant la vuln\u00e9rabilit\u00e9 Pixnapping de reproduire cette man\u0153uvre, d\u2019autant plus que l\u2019attaque ne n\u00e9cessite aucune autorisation sp\u00e9ciale. Une application qui semble offrir une fonctionnalit\u00e9 l\u00e9gitime et utile pourrait simultan\u00e9ment et silencieusement envoyer des codes d\u2019authentification multifacteurs<\/a> \u00e0 usage unique, des mots de passe de portefeuilles de cryptomonnaies et toute autre information \u00e0 des escrocs.<\/p>\n

Une autre tactique couramment utilis\u00e9e par les acteurs malveillants consiste \u00e0 consulter les donn\u00e9es requises telles qu\u2019elles s\u2019affichent, en temps r\u00e9el. Dans le cas de cette technique d\u2019ing\u00e9nierie sociale, la victime est contact\u00e9e via une application de messagerie et, sous divers pr\u00e9textes, convaincue d\u2019activer le partage d\u2019\u00e9cran<\/a>.<\/p>\n

Anatomie de l\u2019attaque Pixnapping<\/h2>\n

Les chercheurs sont parvenus \u00e0 r\u00e9aliser des captures d\u2019\u00e9cran du contenu d\u2019autres applications en combinant des m\u00e9thodes d\u00e9j\u00e0 connues permettant de voler des pixels \u00e0 partir de navigateurs et de processeurs graphiques (GPU) de t\u00e9l\u00e9phones ARM. L\u2019application malveillante superpose silencieusement des fen\u00eatres translucides sur les informations cibles, puis mesure la mani\u00e8re dont le syst\u00e8me vid\u00e9o combine les pixels de ces fen\u00eatres superpos\u00e9es pour former une image finale.<\/p>\n

D\u00e8s 2013, des chercheurs ont d\u00e9crit une attaque qui permettait \u00e0 un site Internet d\u2019en charger un autre dans une partie de sa propre fen\u00eatre (via un \u00e9l\u00e9ment iframe<\/a>) et, en effectuant des op\u00e9rations l\u00e9gitimes de superposition et de transformation d\u2019images, de d\u00e9duire exactement ce qui \u00e9tait dessin\u00e9 ou \u00e9crit sur l\u2019autre site. Si les navigateurs modernes ont att\u00e9nu\u00e9 cette attaque sp\u00e9cifique, un groupe de chercheurs am\u00e9ricains a d\u00e9sormais trouv\u00e9 comment appliquer le m\u00eame principe fondamental \u00e0 Android.<\/p>\n

L\u2019application malveillante envoie d\u2019abord un appel syst\u00e8me \u00e0 l\u2019application cible. Dans Android, il s\u2019agit d\u2019un Intent<\/a>. Les Intents permettent g\u00e9n\u00e9ralement non seulement de lancer simplement une application, mais aussi d\u2019ouvrir imm\u00e9diatement un navigateur pour une URL sp\u00e9cifique ou une application de messagerie pour discuter avec un contact particulier. L\u2019application malveillante envoie un Intent con\u00e7u pour forcer l\u2019application cible \u00e0 afficher l\u2019\u00e9cran contenant les informations sensibles. Des indicateurs de lancement cach\u00e9s sp\u00e9ciaux sont utilis\u00e9s. L\u2019application attaquante envoie alors un Intent de lancement \u00e0 elle-m\u00eame. Cette combinaison sp\u00e9cifique d\u2019actions permet \u00e0 l\u2019application victime de ne pas appara\u00eetre du tout \u00e0 l\u2019\u00e9cran, tout en affichant les informations recherch\u00e9es par le pirate informatique dans sa fen\u00eatre en arri\u00e8re-plan.<\/p>\n

Au cours de la deuxi\u00e8me \u00e9tape de l\u2019attaque, l\u2019application malveillante recouvre la fen\u00eatre cach\u00e9e de l\u2019application victime d\u2019une s\u00e9rie de fen\u00eatres translucides, chacune d\u2019entre elles masquant et brouillant le contenu situ\u00e9 en dessous. Cet arrangement complexe reste invisible pour l\u2019utilisateur, mais Android calcule consciencieusement \u00e0 quoi devrait ressembler cette combinaison de fen\u00eatres si l\u2019utilisateur la mettait au premier plan.<\/p>\n

L\u2019application malveillante ne peut lire directement que les pixels de ses propres fen\u00eatres translucides. L\u2019image finale combin\u00e9e, qui int\u00e8gre le contenu de l\u2019\u00e9cran de l\u2019application victime, n\u2019est pas directement accessible au pirate informatique. Pour contourner cette restriction, les chercheurs ont recours \u00e0 deux strat\u00e9gies ing\u00e9nieuses\u00a0: (i)\u00a0le pixel cibl\u00e9 est isol\u00e9 de son environnement en superposant \u00e0 l\u2019application victime une fen\u00eatre presque enti\u00e8rement opaque, avec un seul point transparent situ\u00e9 pr\u00e9cis\u00e9ment au-dessus du pixel cibl\u00e9\u00a0; (ii)\u00a0une couche grossissante est ensuite plac\u00e9e au-dessus de cette combinaison, qui consiste en une fen\u00eatre avec l\u2019activation d\u2019un floutage constant.<\/p>\n

\"Fonctionnement<\/a>

Fonctionnement de la vuln\u00e9rabilit\u00e9 Pixnapping<\/p><\/div>\n

Pour d\u00e9chiffrer le r\u00e9sultat confus et d\u00e9terminer la valeur du pixel tout en bas, les chercheurs ont exploit\u00e9 une autre vuln\u00e9rabilit\u00e9 connue, GPU.zip<\/a> (qui ressemble \u00e0 un lien vers un fichier, mais qui m\u00e8ne en r\u00e9alit\u00e9 \u00e0 un site affichant un article de recherche). Cette vuln\u00e9rabilit\u00e9 repose sur le fait que tous les smartphones modernes compressent les donn\u00e9es de toutes les images envoy\u00e9es du processeur vers le processeur graphique. Cette compression est sans perte (comme un fichier ZIP), mais la vitesse de compression et de d\u00e9compression varie en fonction des informations transmises. GPU.zip permet \u00e0 un pirate informatique de mesurer le temps n\u00e9cessaire pour compresser les informations. En synchronisant ces op\u00e9rations, le pirate peut d\u00e9duire quelles donn\u00e9es sont transf\u00e9r\u00e9es. Gr\u00e2ce \u00e0 GPU.zip, le pixel isol\u00e9, flou et agrandi provenant de la fen\u00eatre de l\u2019application victime peut \u00eatre d\u00e9chiffr\u00e9 par l\u2019application malveillante.<\/p>\n

Pour voler quelque chose d\u2019important, il faut r\u00e9p\u00e9ter tout le processus de vol de pixels des centaines de fois, car il doit \u00eatre appliqu\u00e9 \u00e0 chaque point s\u00e9par\u00e9ment. Cependant, cette op\u00e9ration est tout \u00e0 fait r\u00e9alisable dans un d\u00e9lai tr\u00e8s court. Dans une vid\u00e9o d\u00e9montrant l\u2019attaque<\/a>, un code \u00e0 six chiffres provenant de Google Authenticator a r\u00e9ussi \u00e0 \u00eatre extrait en seulement 22\u00a0secondes alors qu\u2019il \u00e9tait encore valide.<\/p>\n

Comment Android prot\u00e8ge la confidentialit\u00e9 de l\u2019\u00e9cran<\/h2>\n

Les ing\u00e9nieurs de Google ont pr\u00e8s de deux d\u00e9cennies d\u2019exp\u00e9rience dans la lutte contre diverses atteintes \u00e0 la vie priv\u00e9e, ce qui a abouti \u00e0 la mise en place d\u2019un syst\u00e8me de d\u00e9fense multicouche contre la capture ill\u00e9gale de captures d\u2019\u00e9cran et de vid\u00e9os. Une liste compl\u00e8te de ces mesures occuperait plusieurs pages, nous ne mentionnons donc que certaines protections cl\u00e9s\u00a0:<\/p>\n