Depuis plusieurs années, les smartphones de Google sont associés à une expérience photo d’une grande fiabilité. Beaucoup voient encore cette performance comme la raison première d’acheter un Pixel. Pourtant, une analyse attentive des modèles récents révèle une réalité différente. Le véritable avantage matériel de la gamme ne réside pas dans ses capteurs, mais dans l’intégration ... Lire plus
La photo est l’un des atouts des Pixel, et a fortiori des modèles Pro. Ces derniers sont même dotés d’un mode Pro assez complet. À tel point qu’il n’est pas rare de manquer certaines de ses fonctionnalités. On vous présente...
L’assistant Gemini franchit une nouvelle étape en intégrant désormais l’environnement Android Auto. Google accélère ainsi sa stratégie visant à unifier ses services autour d’un même système conversationnel et à remplacer progressivement l’ancien assistant vocal. Cette évolution concerne les utilisateurs disposant d’un smartphone Android compatible, transformant l’habitacle en interface intelligente capable de gérer des tâches variées ... Lire plus
Google poursuit sa stratégie d’harmonisation entre ses différentes générations de smartphones. Alors que la série Pixel 10 se distingue encore par plusieurs fonctionnalités exclusives, une partie de ces nouveautés se diffuse progressivement vers les modèles antérieurs. Une mise à jour récente illustre parfaitement cette dynamique : un tableau de bord entièrement révisé dédié à l’état ... Lire plus
Google continue d’intégrer l’intelligence artificielle à ses téléphones Pixel dans sa dernière Pixel Drop. La dernière mise à jour, disponible dès maintenant pour les Pixel 9 et modèles plus récents (à l’exception du 9a), introduit une fonctionnalité attendue : les résumés de notifications. Cette nouveauté s’accompagne également d’améliorations dans la détection des arnaques et de nouvelles options […]
Avec la multitude de promotions en cours, à l'occasion du Black Friday, difficile de savoir vers quel smartphone se tourner. Une promo sort cependant du lot chez Rakuten qui met en avant une offre particulièrement attractive sur le Google Pixel P10.
Google poursuit sa stratégie d’enrichissement continu de ses smartphones Pixel avec le Pixel Drop de novembre, un ensemble de nouveautés logicielles déployées sur les modèles récents. Cette mise à jour trimestrielle introduit des fonctions d’économie d’énergie, d’édition photo par intelligence artificielle et de notifications plus intelligentes, confirmant l’ambition du groupe d’offrir un écosystème de plus ... Lire plus
Il y a des bugs qu’on corrige en urgence. Et puis il y a GPU.zip, cette faille que TOUS les fabricants de GPU connaissent depuis mars 2023 et que personne n’a jamais voulu fixer.
Et 2 ans et demi plus tard, des chercheurs viennent de prouver qu’elle permettait de voler nos codes 2FA sous Android en moins de 30 secondes !!
Et devinez quoi ?
Y’a toujours pas de patch !
L’histoire commence donc en septembre 2023.
Des chercheurs de l’Université du Texas, Carnegie Mellon, et l’Université de Washington publient GPU.zip
, une attaque par canal auxiliaire qui exploite la compression graphique hardware des GPU. Le principe c’est qu’en mesurant le temps de rendu de certaines opérations graphiques, on peut déduire la couleur des pixels affichés à l’écran. Pixel par pixel. Un peu comme prendre une capture d’écran, mais sans permission, bien sûr !
Tous les fabricants de GPU sont donc prévenu dès mars 2023. AMD, Apple, Arm, Intel, Nvidia, Qualcomm. Mais aucun patch n’a pointé le bout de son nez. La position officielle des fabricants de GPU étant que “C’est au software de gérer ça”.
Les navigateurs web colmatent alors la brèche en limitant les iframes cross-origin, mais la faille hardware elle-même n’est jamais corrigée. Trop coûteux. Trop compliqué. Pas leur problème…
Maintenant on fait avance rapide en octobre 2025.
Une équipe de 7 chercheurs (UC Berkeley, Carnegie Mellon, Université de Washington) sort Pixnapping
, une attaque qui ressuscite GPU.zip sur Android. Le papier sera d’ailleurs présenté à la 32nd ACM Conference on Computer and Communications Security qui a lieue cette semaine à Taipei. Alan Linghao Wang, Ricardo Paccagnella et leurs collègues on réalisé une démo où on voit une application Android malveillante voler des codes 2FA, des messages privés, ou n’importe quelle donnée affichée à l’écran, sans demander la moindre permission système.
L’attaque fonctionne en trois étapes. D’abord, l’app malveillante invoque des APIs Android publiques (activities, intents, tasks) pour déclencher l’affichage de données sensibles dans l’app cible. Par exemple, forcer Google Authenticator à afficher un code 2FA. Ensuite, elle dessine des fenêtres transparentes par-dessus ces données et effectue des opérations graphiques sur des pixels individuels. Enfin, elle mesure le temps de rendu de chaque frame pour reconstruire les pixels un par un via le canal auxiliaire GPU.zip. C’est lent (entre 0,6 et 2,1 pixels par seconde) mais c’est suffisant.
Les chercheurs ont testé l’attaque sur plusieurs modèles Google Pixel et Samsung Galaxy S25
et sur 100 tentatives de vol de codes 2FA depuis Google Authenticator, le Pixel 6 se montre particulièrement vulnérable avec un taux de réussite des attaques de 73% en seulement 14,3 secondes en moyenne. Le Pixel 7 offre une meilleure résistance avec 53% de réussite en 25,8 secondes, tandis que le Pixel 8 fait encore mieux en limitant les attaques réussies à 29% en 24,9 secondes. Curieusement, le Pixel 9 régresse et remonte à 53% de vulnérabilité en 25,3 secondes. Par contre, le Galaxy S25 se distingue complètement en bloquant systématiquement toutes les tentatives d’attaque grâce au bruit présent dans les mesures qui empêche toute exploitation.
Les vieux appareils sont donc plus vulnérables que les nouveaux, ce qui est probablement lié aux premières générations de GPU Tensor de Google, moins optimisées, plus prévisibles.
Google attribue une CVE à cette attaque (CVE-2025-48561), classée “High Severity” et un patch partiel est publié dans le bulletin de sécurité Android de septembre. Mais les chercheurs ont rapidement trouvé un contournement, qui est actuellement sous embargo. Un second patch est donc prévu pour décembre. Entre-temps,
Google affirme qu’aucune exploitation “in-the-wild” n’a été détectée
pour l’instant.
Le modèle de sécurité Android repose sur l’idée qu’une app sans permissions ne peut rien faire de dangereux. Pixnapping utilise uniquement des APIs publiques légitimes donc y’a rien de suspect dans le manifest, qui déclencherait une alerte Play Protect… Et pourtant, elle peut voler des codes 2FA.
Les recommandations de sécurité sont donc les mêmes depuis 2023 à savoir scruter attentivement les apps installées, privilégier les clés de sécurité hardware pour la 2FA (YubiKey, Titan), surveiller les comportements anormaux.
Après, je pense pas que beaucoup d’utilisateurs d’Android vont investir dans une clé hardware à 50 balles parce que Nvidia a la flemme de patcher son GPU.
Bienvenue dans la réalité de la sécurité mobile les amis.
Connexion
