Android : une faille de sécurité critique menace de voler les données des smartphones, mais Google prend son temps

Android est sensible à une attaque, Pixnapping, qui permet de voler les données de n'importe quelle application. Google annonce qu'elle ne sera corrigée qu'en décembre 2025.

google pixel 10 test
Crédits : Phonandroid

Une nouvelle faille de sécurité importante a été découverte sur Android. Et contrairement à d'autres vulnérabilités, celle-ci n'est pas encore totalement comblée alors qu'elle est rendue publique, et ne le sera pas avant encore plusieurs semaines. Plusieurs modèles de smartphones Google Pixel, Samsung Galaxy, et sans doute d'autres, sont sensibles à un nouveau genre d'attaque, baptisé Pixnapping.

Pixnapping tire profit d'une vulnérabilité dans Android, qui permet de voler des données d'applications qui sont normalement sécurisées, comme Google Maps, Signal ou Gmail. Pire encore, des chercheurs ont même réussi à contourner le système d'authentification à double facteur de Google Authenticator.

Pixnapping sévit encore sur Android

Comment opèrent donc les pirates utilisant Pixnapping ? Comme bien souvent, tout commence par une application Android installée sur l'appareil, qui semble légitime à première vue, mais qui est en fait malveillante. Cette app contient du code capable de prendre des captures d'écran d'autres applications ou sites web. Pour ce faire, elle accède aux informations sur les pixels d'affichage de l'écran à travers un composant du GPU du mobile.

Google estime qu'il est peu probable que cette faille de sécurité ait été activement exploitée. La firme n'en a en tout cas trouvé aucune trace. Mais maintenant que son mode de fonctionnement a été documenté, il est possible que certains individus malveillants tentent d'en profiter, étant donné que la vulnérabilité n'a pas encore été corrigée à 100 %.

“Nous avons publié un correctif pour la vulnérabilité CVE-2025-48561 dans le bulletin de sécurité Android de septembre, ce qui atténue partiellement ce comportement. Nous publions un correctif supplémentaire pour cette vulnérabilité dans le bulletin de sécurité Android de décembre”, a déclaré Google à The Register.

Dans le patch de septembre, Google a tenté de protéger les appareils contre Pixnapping en limitant le nombre de demandes d'API de floutage autorisées par une activité Android. Mais les chercheurs à l'origine de la découverte ont vite réussi à passer outre cette mesure et Pixnapping est donc toujours actif. Le moyen de casser le correctif de septembre n'a par contre pas été rendu public. On imagine qu'il le sera en décembre, après la deuxième mise à jour.


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

OnePlus met un pied de plus dans la tombe, voici les derniers indices qui confirment que la fin est proche

On savait OnePlus en grandes difficultés et on soupçonnait un départ de la marque des marchés européens et américains. Voilà que de nouvelles rumeurs vont dans ce sens, alors qu’Oppo,…

Marvel : le Punisher revient dans un épisode spécial sur Disney+, voici quand

Après son apparition dans la saison 1 de Daredevil Born Again, Frank Castle, alias le Punisher, va avoir droit à un épisode unique sur Disney+. La date de diffusion est…

Xbox Game Pass : prix plus abordables, version avec pub… Voici les scénarios envisagés avec le retour de la Xbox

Un récent rapport dévoile la feuille de route de la division Gaming de Microsoft. Au-delà d’un retour de la Xbox physique incarnée par le Project Helix, Asha Sharma, la nouvelle…

Vite, le Xiaomi Portable Electric Air Compressor 2 est à prix cassé pour quelques heures : ce gonfleur de pneu est un indispensable !

Ne vous fiez pas à ses dimensions compactes, cette seconde génération du compresseur d’air portable de Xiaomi est l’allié idéal pour gonfler vos pneus de voiture, de trottinette, de moto…

Firefox 149 fait le plein de nouveautés, dont un VPN gratuit

La version 149 du navigateur Firefox est là. Elle intègre plusieurs fonctionnalités inédites et pratiques, parmi lesquelles un VPN gratuit. Passons en revue les nouveautés du programme. Le navigateur Firefox…

« Nous disons adieu à l’application Sora » : OpenAI va bientôt fermer son célèbre générateur de vidéos IA

Sora est la plateforme autonome de génération de vidéos par IA d’OpenAI. Lancée à la fin de l’année 2024, elle a suscité un véritable engouement, mais la maison-mère de ChatGPT…

IA

Spider-Man Brand New Day n’est pas encore sorti qu’il vient de pulvériser un record historique, même GTA 6 ne fait pas le poids

La semaine dernière, Sony dévoilait la première bande-annonce du prochain film Spider-Man, Brand New Day. Il ne lui a fallu que 24 heures pour battre un record historique, scellant d’ores…

Disney+ : la saison 2 de Daredevil : Born Again est disponible sur la plateforme de streaming !

Disney+ est une plateforme de streaming vidéo très vivante avec des nouveautés qui enrichissent le catalogue très régulièrement comme des films récents, des dessins animés, des classiques du cinéma ou…

Meilleure vente de Pâques : une licence Office 2021 Pro pour seulement 30 € ! Offre spéciale sur Windows 11 Pro à 12 € !

Licences Microsoft à prix cassés, sans abonnement : Office 2021 Professional à 30,25 € à vie et Windows 11 Pro à 12,25 €. Godeal24 propose des offres à durée limitée…

ChatGPT se dote d’une nouveauté qui fait toute la différence pour les utilisateurs réguliers

ChatGPT dispose désormais d’une bibliothèque regroupant les fichiers qu’on lui a partagés, ainsi que ceux que l’IA a générés elle-même. Un espace bien pratique pour s’organiser plus efficacement. ChatGPT est…

IA