10月15日�,在2025年acm計(jì)算機(jī)與通信安全會(huì)議中��,一項(xiàng)名為“pixnapping”的新型旁路攻擊被研究人員公開披露�����。
該攻擊專門針對(duì)Android系統(tǒng)��,可在30秒內(nèi)快速提取設(shè)備屏幕上的敏感信息���。其核心原理是利用Android系統(tǒng)底層API以及圖形處理單元(GPU)中存在的硬件級(jí)缺陷,幾乎波及所有主流Android手機(jī)���,且整個(gè)過程無(wú)需獲取特殊權(quán)限即可完成�����。
攻擊機(jī)制依賴于Android的Intent通信系統(tǒng)——這一功能允許應(yīng)用之間相互調(diào)用��。攻擊者通過構(gòu)造惡意Intent啟動(dòng)目標(biāo)應(yīng)用(例如Google Authenticator)�����,隨后部署多層近乎透明的界面覆蓋在目標(biāo)界面上���,實(shí)現(xiàn)對(duì)特定像素區(qū)域的隔離����。
這些透明圖層經(jīng)由Android的顯示合成服務(wù)SurfaceFlinger施加模糊效果��。由于GPU在進(jìn)行圖像壓縮(被稱為“GPU.zip”)時(shí)���,不同顏色像素的渲染耗時(shí)存在細(xì)微差異�����,攻擊者便可借此時(shí)間差反推出屏幕上顯示的內(nèi)容�����。
為高效捕獲短暫存在的數(shù)據(jù)(如兩步驗(yàn)證碼)����,研究團(tuán)隊(duì)優(yōu)化了識(shí)別策略:采用類似OCR的技術(shù),僅需定位Google Sans字體中每個(gè)數(shù)字的關(guān)鍵四個(gè)像素點(diǎn)����,就能在驗(yàn)證碼過期前完成內(nèi)容重建。
值得注意的是�����,Pixnapping不僅限于竊取2FA動(dòng)態(tài)碼�����,還能突破Signal等應(yīng)用的防截屏保護(hù)機(jī)制,讀取私密對(duì)話內(nèi)容�,甚至獲取Google Maps中的歷史位置軌跡和Venmo中的交易記錄等敏感信息�。
對(duì)Google Play商店中96,783款應(yīng)用的分析表明���,每一款應(yīng)用至少存在一個(gè)可通過Intent調(diào)用的導(dǎo)出組件�;網(wǎng)絡(luò)層面評(píng)估則顯示�,Pixnapping使高達(dá)99.3%的主流網(wǎng)站面臨威脅�����,遠(yuǎn)超傳統(tǒng)基于iframe的攻擊范圍�����。
目前��,Google已將此漏洞列為高危(編號(hào)CVE-2025-48561)�,并于2025年9月向Pixel系列設(shè)備推送修復(fù)補(bǔ)丁。而三星方面評(píng)估認(rèn)為其實(shí)現(xiàn)條件較為復(fù)雜����,因此將其風(fēng)險(xiǎn)等級(jí)定為低危。
為防范此類攻擊�,安全專家建議啟用應(yīng)用白名單機(jī)制以限制透明浮層的使用,同時(shí)加強(qiáng)對(duì)異常行為的監(jiān)測(cè)����。用戶應(yīng)保持系統(tǒng)及時(shí)更新�����,并在安裝應(yīng)用時(shí)審慎授權(quán)����,警惕來(lái)源不明的應(yīng)用程序。
以上就是新型攻擊30秒即可竊取雙重驗(yàn)證碼���!影響所有Android手機(jī)的詳細(xì)內(nèi)容��,更多請(qǐng)關(guān)注php中文網(wǎng)其它相關(guān)文章��!
404
收藏
