一种新的攻击技术被称为 Pixnapping 已将 Android 安全性置于聚光灯下:它允许恶意应用程序推断屏幕上显示的内容并捕获安全代码。 两步认证 (2FA)、消息和其他敏感数据可在几秒钟内获取。
最令人担心的是,它无需询问就能发挥作用 特殊权限,依赖于合法的系统 API 并利用图形侧通道逐像素重建设备上可见的信息,即使是非浏览器应用程序也可以。
什么是 Pixnapping 以及它为何重要
Pixnapping 是一种 “像素盗窃” 能够推断屏幕特定区域的内容,从而提取敏感数据,例如 2FA 代码、 Google Maps、消息或电子邮件。
作者强调该技术 规避缓解措施 常见的浏览器攻击并到达本机应用程序,与传统捕获方法相比,大大扩展了攻击面。
如何逐步运作
该攻击将 Android API 与 GPU 侧通道相结合,以测量 渲染和压缩,进而重构目标信息。
- 恶意应用程序 引发可视化 受害者应用程序(例如,2FA 代码生成器)并选择屏幕上的关键区域。
- 重叠活动 半透明 并操纵图形管道来隔离特定像素并测量处理时间。
- 通过这些测量,它可以推断出每个像素的颜色,并 重建文本 最后采用OCR技术。
实际上,攻击者的软件会“扫描”数字绘制的区域,然后从 渲染延迟,推断是否有内容以及内容是什么,无需常规截图。
受影响的设备和版本
研究人员证实了此次攻击 Google Pixel 6、7、8 和 9,除了 Samsung Galaxy S25,分别运行Android 13、14、15和16。
该团队由加州大学伯克利分校、华盛顿大学、加州大学圣地亚哥分校和卡内基梅隆大学参与,他们指出 利用机制 它们在 Android 生态系统中广泛存在,因此其他品牌可能会受到改编的影响。
通过测试衡量有效性
Pixnapping 成功恢复了不同型号的六位数 2FA 代码,成功率为 73%(Pixel 6)、53%(Pixel 7)、29%(Pixel 8)和 53%(Pixel 9)。
提取完整代码的平均时间为 14,3小号 在 Pixel 6 上; 25,8小号 在 Pixel 7 上; 24,9小号 在 Pixel 8 上;以及 25,3小号 在 Pixel 9 上,在典型的有效期内 30秒 来自许多 2FA。
屏幕上未显示的秘密(例如,内部存储的密钥)是无法获取的,但仍然可见的信息 超过几秒钟 —例如种子短语或位置时间线—尤其容易受到攻击。
影响和潜在目标
暴露最严重的应用和服务包括: 验证器 (例如 Google Authenticator)、银行和金融、私人消息、电子邮件和位置数据。
该技术尤其危险,因为它可能被封装在明显的恶意应用程序中。 无害,它不会泄露可疑权限,并且会根据受害者在屏幕上看到的内容默默采取行动。
Google 响应和补丁状态
Google 分配了标识符 CVE-2025-48561 (CVSS 5,5)并发布了 部分缓解 在 9 月份的安全公告中,并计划在 12 月份进行另一次修复。
据研究人员称,最初的解决方案(其中包括限制应用程序可以模糊的活动数量)是 躲避的 受到攻击变体的影响,因此他们继续与谷歌和三星协调,部署更强大的防御措施;到目前为止,还没有发现任何被利用的迹象。 大规模的.
给用户和开发者的建议
对于用户:保留手机 已更新, 避免安装来自不受信任来源的应用程序 并尽量减少敏感信息在屏幕上显示的时间。
- 只要有可能,就选择 FIDO2/WebAuthn (安全密钥、基于硬件的身份验证)而不是基于应用程序的 2FA 代码。
- 请勿展示或拍照 恢复短语 或连接设备上的凭证。
- 审查显示以下信息的应用程序的权限和行为 覆盖 执着的。
对于初创企业和产品团队: 审计身份验证流程,尽量减少曝光 在用户界面中 敏感数据并评估不依赖于在屏幕上显示短暂秘密的替代验证方法。
尚待解决的问题
专家预计,全面解决方案可能需要 深刻的变化 在图形管道中以及 Android 如何允许您在应用程序之间绘制和叠加内容。
在更强大的平台补丁发布之前,最好假设屏幕上显示几秒钟的任何内容都可能 造成 被攻击者用正确的手段所为。
Pixnapping 揭示了一个影响 Android 体验核心的风险向量:屏幕上显示的内容。结合 2FA 代码使用窗口内的相关成功率和时间, 系统缓解措施,在谷歌对其补丁进行微调的同时,良好的做法(减少屏幕曝光)和防网络钓鱼身份验证(FIDO2/WebAuthn)正在成为最明智的途径。
