10月15日消息,在2025年ACM计算机与通信安全会议上,研究人员展示了一种名为“Pixnapping”的新型旁路攻击方式。
这种攻击针对Android设备,能够在不到30秒的时间内窃取敏感屏幕数据,其利用了Android的核心API和图形处理单元(GPU)中的硬件漏洞,几乎影响所有现代Android手机,且无需特殊权限。
这种攻击利用了Android的Intent系统,该系统允许应用程序无缝启动其他应用,结合多层半透明活动覆盖目标屏幕。
恶意应用通过发送Intent打开目标应用(如Google Authenticator),然后使用遮罩技术叠加几乎不可见的窗口,以隔离特定像素。
这些覆盖层通过Android的合成引擎SurfaceFlinger应用模糊效果,由于GPU数据压缩(称为“GPU.zip”)的特性,不同颜色的像素会导致渲染时间的差异。
研究人员针对短暂数据(如2FA代码)优化了该技术,采用类似光学字符识别(OCR)的探测方法,仅需定位Google Sans字体中每个数字的四个关键像素,即可在验证码失效前完成重构。
而且Pixnapping攻击的影响范围不仅限于2FA代码,还能绕过Signal的屏幕安全防护窃取私密消息,获取Google Maps中的位置历史记录以及Venmo中的交易详情。
对Google Play中96783款应用进行的调查显示,所有应用至少有一个可被intent调用的导出活动;而网络分析显示,Pixnapping攻击使99.3%的顶级网站面临风险,远远超过过时的基于iframe的攻击。
Google已将该漏洞定性为高危(CVE-2025-48561),并于2025年9月为Pixel设备发布了补丁,三星则认为该漏洞的实现复杂性较高,将其定性为低危。
为了缓解这种攻击,专家建议通过应用白名单限制透明覆盖层,并监控异常应用行为,用户还应及时更新设备,并仔细检查应用安装。
本文转载于快科技,文中观点仅代表作者个人看法,本站只做信息存储
本文来自于网络或用户投稿,本站仅供信息存储,阅读前请先查看【免责声明】,若本文侵犯了原著者的合法权益,可联系我们进行处理。本文链接:https://trustany.com/post/12377.html
