Un nouveau défaut Android permet aux applications malveillantes de voler des codes et des messages 2FA via des attaques de synchronisation GPU, affectant la plupart des appareils malgré une correction partielle. A new Android flaw lets malicious apps steal 2FA codes and messages via GPU timing attacks, affecting most devices despite a partial fix.

Une vulnérabilité Android nouvellement découverte appelée "Pixnacping", suivi comme CVE-2025-48561, permet aux applications malveillantes de voler des données sensibles à l'écran comme les codes d'authentification à deux facteurs et les messages privés en utilisant une attaque de canal latéral qui exploite le timing GPU. A newly discovered Android vulnerability called "Pixnapping," tracked as CVE-2025-48561, allows malicious apps to steal sensitive on-screen data like two-factor authentication codes and private messages using a side-channel attack that exploits GPU timing. Des chercheurs de UC Berkeley, UC San Diego, l'Université de Washington et Carnegie Mellon ont démontré que le défaut affecte presque tous les appareils Android modernes, y compris les modèles phares Pixel et Samsung, et peut extraire les codes 2FA en moins de 30 secondes. Researchers from UC Berkeley, UC San Diego, the University of Washington, and Carnegie Mellon demonstrated the flaw affects nearly all modern Android devices, including Pixel and Samsung flagship models, and can extract 2FA codes in under 30 seconds. L'attaque assaille les applications légitimes à afficher du contenu, puis le reconstruit par l'analyse de la synchronisation au niveau du pixel sans le consentement de l'utilisateur. The attack tricks legitimate apps into displaying content, then reconstructs it via pixel-level timing analysis without user consent. Google a publié une correction partielle dans la mise à jour de septembre, mais les chercheurs confirment que l'exploit peut la contourner, avec un correctif complet attendu en décembre. Google has released a partial fix in the September update, but researchers confirm the exploit can bypass it, with a full patch expected in December. Aucune preuve d'utilisation réelle n'a été trouvée au 14 octobre 2025. No evidence of real-world use has been found as of October 14, 2025. Il est conseillé aux utilisateurs de garder les appareils à jour et d'éviter les applications non fiables. Users are advised to keep devices updated and avoid untrusted apps.