快科技 10 月 15 日消息,在 2025 年 ACM 计算机与通信安全会议上,研究人员展示了一种名为 "Pixnapping" 的新型旁路攻击方式。
这种攻击针对 Android 设备,能够在不到 30 秒的时间内窃取敏感屏幕数据,其利用了 Android 的核心 API 和图形处理单元(GPU)中的硬件漏洞,几乎影响所有现代 Android 手机,且无需特殊权限。
这种攻击利用了 Android 的 Intent 系统,该系统允许应用程序无缝启动其他应用,结合多层半透明活动覆盖目标屏幕。
恶意应用通过发送 Intent 打开目标应用(如 Google Authenticator),然后使用遮罩技术叠加几乎不可见的窗口,以隔离特定像素。
这些覆盖层通过 Android 的合成引擎 SurfaceFlinger 应用模糊效果,由于 GPU 数据压缩(称为 "GPU.zip")的特性,不同颜色的像素会导致渲染时间的差异。
研究人员针对短暂数据(如 2FA 代码)优化了该技术,采用类似光学字符识别(OCR)的探测 *** ,仅需定位 Google Sans 字体中每个数字的四个关键像素,即可在验证码失效前完成重构。
而且 Pixnapping 攻击的影响范围不仅限于 2FA 代码,还能绕过 Signal 的屏幕安全防护窃取私密消息,获取 Google Maps 中的位置历史记录以及 Venmo 中的交易详情。
对 Google Play 中 96783 款应用进行的调查显示,所有应用至少有一个可被 intent 调用的导出活动;而 *** 分析显示,Pixnapping 攻击使 99.3% 的顶级网站面临风险,远远超过过时的基于 iframe 的攻击。
Google 已将该漏洞定性为高危(CVE-2025-48561),并于 2025 年 9 月为 Pixel 设备发布了补丁,三星则认为该漏洞的实现复杂性较高,将其定性为低危。
为了缓解这种攻击,专家建议通过应用白名单限制透明覆盖层,并监控异常应用行为,用户还应及时更新设备,并仔细检查应用安装。
