Android : une faille de sécurité critique menace de voler les données des smartphones, mais Google prend son temps

Android est sensible à une attaque, Pixnapping, qui permet de voler les données de n'importe quelle application. Google annonce qu'elle ne sera corrigée qu'en décembre 2025.

Une nouvelle faille de sécurité importante a été découverte sur Android. Et contrairement à d'autres vulnérabilités, celle-ci n'est pas encore totalement comblée alors qu'elle est rendue publique, et ne le sera pas avant encore plusieurs semaines. Plusieurs modèles de smartphones Google Pixel, Samsung Galaxy, et sans doute d'autres, sont sensibles à un nouveau genre d'attaque, baptisé Pixnapping.

Pixnapping tire profit d'une vulnérabilité dans Android, qui permet de voler des données d'applications qui sont normalement sécurisées, comme Google Maps, Signal ou Gmail. Pire encore, des chercheurs ont même réussi à contourner le système d'authentification à double facteur de Google Authenticator.

Pixnapping sévit encore sur Android

Comment opèrent donc les pirates utilisant Pixnapping ? Comme bien souvent, tout commence par une application Android installée sur l'appareil, qui semble légitime à première vue, mais qui est en fait malveillante. Cette app contient du code capable de prendre des captures d'écran d'autres applications ou sites web. Pour ce faire, elle accède aux informations sur les pixels d'affichage de l'écran à travers un composant du GPU du mobile.

Google estime qu'il est peu probable que cette faille de sécurité ait été activement exploitée. La firme n'en a en tout cas trouvé aucune trace. Mais maintenant que son mode de fonctionnement a été documenté, il est possible que certains individus malveillants tentent d'en profiter, étant donné que la vulnérabilité n'a pas encore été corrigée à 100 %.

“Nous avons publié un correctif pour la vulnérabilité CVE-2025-48561 dans le bulletin de sécurité Android de septembre, ce qui atténue partiellement ce comportement. Nous publions un correctif supplémentaire pour cette vulnérabilité dans le bulletin de sécurité Android de décembre”, a déclaré Google à The Register.

Dans le patch de septembre, Google a tenté de protéger les appareils contre Pixnapping en limitant le nombre de demandes d'API de floutage autorisées par une activité Android. Mais les chercheurs à l'origine de la découverte ont vite réussi à passer outre cette mesure et Pixnapping est donc toujours actif. Le moyen de casser le correctif de septembre n'a par contre pas été rendu public. On imagine qu'il le sera en décembre, après la deuxième mise à jour.