Une nouvelle vulnérabilité Android, appelée Pixnapping, permet aux applications malveillantes de voler des données sensibles à partir de l'écran en moins de 30 secondes, sans autorisations spéciales.

Les chercheurs ont découvert une vulnérabilité grave dans Android, appelée Pixnapping, qui permet aux applications malveillantes de voler rapidement des données sensibles à partir de l'écran, telles que des codes Google Authenticator, des messages Signal et des informations financières Venmo. Pixnapping contourne le modèle de permissions d'Android, capturant tout ce qui est visible à l'écran sans nécessiter de permissions spéciales. L'attaque manipule le système de rendu Android pour extraire des données pixel par pixel, en utilisant des techniques avancées de reconnaissance optique de caractères (OCR). La vulnérabilité est liée à un problème de canal latéral du processeur graphique, appelé GPU.zip, qui permet aux applications d'observer les variations du temps de rendu. Google a évalué Pixnapping comme une vulnérabilité de gravité élevée et a émis une solution partielle, mais les chercheurs ont réussi à la contourner rapidement. Pour l'instant, il n'existe pas de méthode sûre pour les utilisateurs de se protéger contre Pixnapping, et des mises à jour du système sont recommandées.