Attaque Pixnapping

Commentaires sur Hacker News

• À mon avis, le problème central est que le système de permissions d’Android autorise par défaut des choses comme « exécution en arrière-plan » ou « accès à Internet » sans l’accord de l’utilisateur ; ce type d’attaque est possible parce que toutes les applications — même un jeu hors ligne — disposent de ces permissions par défaut. Beaucoup d’apps ne devraient avoir accès à Internet que « pendant l’utilisation de l’application » ; ce ne serait pas une protection parfaite, mais comme il existe toujours un risque de lancer par erreur une app malveillante, cela pourrait réduire fortement l’efficacité de l’attaque.

  • Je me demande s’il existe une étude sérieuse sur le niveau de risque entre les mises à jour automatiques et les mises à jour manuelles / absentes, notamment dans des environnements semi-sandboxés comme Android ; j’aimerais savoir s’il y a des travaux comparant les taux de défaillance.

  • En réalité, la permission d’accès à Internet existe, et sur GrapheneOS on peut carrément refuser l’accès à Internet pour les applications qui la déclarent.

  • Il existe une réponse convaincante à la question de savoir pourquoi Android ne demande pas l’autorisation de l’utilisateur pour l’accès à Internet dans les apps Android ; c’est une réponse directe de l’équipe de développement Android source. Concernant l’« exécution en arrière-plan », comme Android est basé sur des « intents », une app peut être réveillée à tout moment, donc une simple option « interdire l’exécution en arrière-plan » pourrait ne pas fonctionner comme l’utilisateur l’attend.

• J’ai regardé la vidéo, mais j’ai quand même du mal à comprendre comment cette attaque fonctionne ; je me demande s’il est vraiment possible d’accéder aux pixels d’une app d’authentification après avoir changé d’application.

• À la question de savoir comment protéger les utilisateurs en tant que développeur d’app, il est dit qu’il n’existe pas de contre-mesure publiée, mais je pense qu’on peut au moins tenter quelques approches de base : par exemple ne pas fixer la position du code secret à l’écran, le masquer en arrière-plan, le faire bouger en permanence, modifier les couleurs et le contraste, afficher du bruit statique, ou ne faire clignoter brièvement qu’une partie du code au lieu du code entier. Bien sûr, cela aurait un certain impact sur l’UX, mais en théorie cela pourrait considérablement augmenter la difficulté pour l’attaquant. Je précise toutefois que si des informations secrètes sont mises en cache via des captures d’écran, ces méthodes ont leurs limites.

  • Je me souviens que Google Authenticator avait autrefois changé son comportement pour n’afficher les codes TOTP qu’après un toucher ; à l’époque, je pensais que cela ne bloquait pas vraiment une menace concrète et ne faisait qu’ajouter de la gêne, et beaucoup de gens étaient du même avis, donc la fonctionnalité a été discrètement annulée peu après. Je me demande si c’était une mesure préventive contre cette faille.

  • Présentation d’une démo : unscreenshottable.vercel.app

• Il est souligné que, pour que cette attaque soit réellement praticable contre du TOTP, il faut connaître parfaitement la police et la position des pixels. D’après l’article, voler une zone sensible de l’écran prend du temps ; par exemple, un code 2FA est renouvelé toutes les 30 secondes par défaut, donc la contrainte temporelle est stricte. Si l’attaquant ne parvient pas à exfiltrer les 6 chiffres en moins de 30 secondes, la valeur disparaît. En revanche, si la police est connue de l’attaquant, quelques pixels peuvent suffire à distinguer le code.

  • Comme il n’existe en pratique que quelques applications d’authentification largement utilisées (Google, Microsoft Authenticator, Okta, etc.), je ne pense pas que ce soit un obstacle majeur.

• Il est indiqué que la technique existe depuis longtemps, mais qu’elle est très efficace pour viser des cibles de manière précise. Si l’on peut installer une application spécifique sur le téléphone d’un utilisateur, il n’est même pas forcément nécessaire de faire quelque chose d’aussi complexe : on peut simplement accéder directement aux informations voulues depuis l’application. Par exemple, si une entreprise comme Facebook affichait une alerte de confidentialité disant « cette application capture périodiquement votre écran », un nombre surprenant de personnes l’accepterait quand même. Le code source de Pixnapping devait être publié ici une fois le correctif possible, mais en réalité l’ingénierie inverse ne semble pas particulièrement difficile. Ils auraient pu attendre que le patch soit déployé, mais on a l’impression que les chercheurs voulaient susciter rapidement l’attention.

  • Le correctif de la vulnérabilité d’origine est déjà public ; le message de ce commit associé indique explicitement qu’il « empêche le vol de pixels en mesurant le temps de flou entre fenêtres ». Si les chercheurs ne publient pas le code, c’est parce qu’ils ont découvert une méthode de contournement de ce patch. Ils ajoutent aussi qu’« aucun fournisseur GPU n’a promis de corriger GPU.zip » et que « Google n’a pas non plus l’intention de corriger la vulnérabilité de contournement de la liste d’applications » (« clôturé comme non corrigé »). Vu que la première divulgation date du 24 février 2025, il est difficile de dire que les chercheurs ont agi dans la précipitation. Et même s’il y avait une alerte du type « cette application capture périodiquement votre écran », les écrans explicitement marqués comme non capturables ne peuvent pas être capturés sans exploit distinct.

  • La date de première divulgation à Google est le 24 février 2025 ; ils ont laissé suffisamment de temps.

• Il est reconnu que cette attaque est une technique astucieuse exploitant le temps de rendu comme canal auxiliaire. Même avec Google Authenticator, récupérer l’ensemble des pixels prendrait un certain temps. Ce qui m’inquiète davantage, c’est jusqu’où cette méthode pourrait s’appliquer au vol d’OTP dans les SMS. Il y a aussi de plus en plus d’e-mails de phishing au format très figé, comme les notifications GitHub, au point que j’ai complètement arrêté de cliquer sur les liens dans les e-mails. Je pense aussi qu’il vaut mieux éviter désormais d’ouvrir des apps via des recommandations d’intent ; mieux vaut lancer soi-même l’application, faire ce qu’on a à faire, et supprimer les apps inutiles. La surface d’attaque peut aussi s’étendre via des SDK ou des intents de pages web, et c’est souvent sous-estimé.

• En voyant seulement le titre, j’avais cru qu’il s’agissait d’un jeu dans le navigateur web.

• Je ne suis pas expert en sécurité, mais j’ai l’impression que si l’on installe une application sur un bureau Windows, des attaques bien plus rapides et plus discrètes que le pixnapping d’Android sont possibles. Si l’on réutilise le même mot de passe sur plusieurs sites, l’un d’eux peut le voler et s’en servir pour se connecter ailleurs, en l’absence de couche de sécurité supplémentaire. En théorie, c’est peu sûr, mais dans la pratique ce genre d’attaque n’est ni si courant ni si facile à exécuter.

  • Sur desktop, il n’y a pas de sandboxing, alors que sur mobile si ; du coup, une sortie de sandbox équivaut déjà à une compromission de sécurité. En plus, sur desktop on n’installe pas individuellement des apps de fast-food, alors que sur mobile on finit par installer des apps à tout-va.

• Lien vers la discussion précédente

  • Dans la discussion précédente, beaucoup de réactions disaient qu’il n’y avait pas lieu de s’inquiéter puisqu’un patch était sorti, mais dans ce cas il est dit que ce patch ne fonctionne pas complètement.

• J’ai l’impression que les appareils modernes sont devenus trop complexes pour permettre une sécurité totale ; on continue d’y ajouter sans fin des fonctions dont on n’a pas vraiment besoin, et c’est probablement pour cela qu’on se retrouve avec ce genre de situation. Je pense qu’à l’avenir, la demande pour des OS axés sur la sécurité avec un minimum de fonctionnalités, à la FreeBSD, va augmenter.

  • Je voudrais un environnement dans lequel je peux faire make world depuis un terminal même en déplacement.

  • Il y a Precursor, créé par Bunnie ; c’est impressionnant, mais je le trouve beaucoup trop cher. Si vous trouvez qu’une calculatrice à 100 $ est chère, Precursor a un format similaire et une puissance de calcul comparable, sauf qu’il coûte 1 000 $ et qu’on ne peut même pas l’utiliser pour un examen de maths. Blog officiel de Precursor (actuellement inaccessible, mais peut-être de nouveau disponible plus tard)

  • Après avoir lu les commentaires HN pendant des années, j’en viens à penser que les connaissances et les pratiques en matière de sécurité ont énormément régressé, et la généralisation de l’IA générative va probablement encore aggraver la situation. Ces temps-ci, on voit aussi beaucoup de gens parler de projets de téléphones FSF tout en se plaignant du caractère pénible des apps de banque mobile. Certains disent même qu’entrer un mot de passe toutes les 30 minutes sur desktop est trop contraignant, ou demandent s’il faut « avoir deux téléphones ». À mon avis, si un voleur vous dérobe votre téléphone après avoir observé votre saisie du mot de passe, il ouvrira immédiatement l’app bancaire, l’app d’argent, etc., pour exfiltrer un maximum de données. Ce type de crime existe réellement tous les jours. Mieux vaut ne pas installer ces applications sur son téléphone, ni les laisser connectées, et il en va de même pour les apps 2FA. C’est comme se promener avec une valise de voyage de marque très chère : on se désigne soi-même comme cible. À moins d’être un CEO ou une cible d’attaque d’envergure étatique, il faut être encore plus prudent. Même un appareil « OS de sécurité à fonctionnalités minimales » ne résout pas fondamentalement le problème du vol physique (quelqu’un voit le mot de passe puis vole l’appareil), mais il faut en tout cas séparer strictement le téléphone qui sert dans les bars avec des jeux et des apps publicitaires, de celui qui sert à la banque, à la 2FA et au travail.