Une nouvelle menace redoutable qui plane sur les utilisateurs Android. Cette année, Google a pris connaissance d’une vulnérabilité majeure qui est capable de voler des informations sur des applications réputées très sûres, telles que Google Authentificator ou Signal. Cette technique dénommée Pixnapping cible notamment plusieurs smartphones Google Pixel et Samsung Galaxy. La firme de Mountain View a pris conscience des risques et publié des correctifs de sécurité en septembre sur Android. Voici tout ce qu’il faut savoir sur cette menace. Des chercheurs émanant d’universités américaines prestigieuses, telles que Berkeley, San Diego ou Carnegie Mellon ont donc publié un article dénommé « Pixnapping: Bringing Pixel Stealing out of the Stone Age » qui tire la sonnette d’alarme. Concrètement, cette attaque peut se produire lorsque la cible installe sans le savoir une application malveillante sur son smartphone sur Android. Elle se produit en trois étapes, d’après nos confrères de Zdnet. Les voici dans le détail : Dans la première phase, l’application malveillante active l’application cible et lance un appel système afin de soumettre des informations confidentielles au processus de rendu d’Android. Au cours de la seconde phase, elle déclenche des manipulations graphiques, telles que l’application d’un flou, en superposant une couche partiellement transparente sur les zones critiques des pixels produits par l’application cible, par exemple l’affichage des codes 2FA dans une app d’authentification. Un masquage est alors appliqué pour extraire, amplifier et identifier les caractéristiques visuelles de ces pixels. La phase finale exploite un canal secondaire, GPU.Zip, pour s’approprier les pixels visibles un à un. En clair, l’application malveillante capture ainsi une forme d’image d’écran des éléments qu’elle n’est pas autorisée à consulter. Une fois votre appareil compromis, les pirates sont en mesure de voler des informations sensibles, telles que vos messages privés ou les codes d’authentification 2FA qui sont justement censés protéger vos comptes. Les auteurs de cette étude précisent à ce sujet : Nous avons démontré des attaques Pixnapping sur des téléphones Google et Samsung et une récupération complète de données sensibles à partir de sites web, notamment Gmail et les comptes Google, et d’applications, comme Signal, Google Authenticator, Venmo et Google Maps. Notamment, notre attaque contre Google Authenticator permet à toute application malveillante de voler des codes 2FA en moins de 30 secondes, tout en dissimulant l’attaque à l’utilisateur. Le message est désormais passé et la vigilance est plus que jamais de mise. Les équipes de Google sont également au courant et elles suivent probablement ce problème de près afin d’y remédier sur la durée.
