Android新漏洞Pixnapping曝光：2FA代码30秒被窃

一份由加州大学伯克利分校、华盛顿大学、加州大学圣地亚哥分校与卡内基梅隆大学联合发布的研究报告指出，尽管谷歌持续修补漏洞，安卓用户仍面临一种前所未有的安全威胁。

新型攻击方式：Pixnapping如何运作

研究人员揭露了一种名为“Pixnapping”的攻击手段，该方法利用安卓系统的渲染管道特性，绕过浏览器安全机制，实现对用户屏幕内容的隐蔽读取。

恶意应用程序通过发送特定意图（Intent），强制将目标应用的界面像素推入渲染堆栈，并借助半透明活动层进行像素级计算，从而在不触发用户警报的情况下提取敏感信息。

攻击目标：2FA代码与隐私数据

该攻击可精准窃取双重身份验证（2FA）代码、电子邮件正文、位置历史记录等高敏感数据。研究团队演示了端到端攻击流程，仅需30秒即可从Google Authenticator中成功提取临时验证码。

值得注意的是，此类攻击已在Google Pixel 6、Pixel 7、Pixel 8、Pixel 9及三星Galaxy S25等主流设备上完成验证，显示出广泛的潜在影响范围。

补丁失效？规避技术已现

谷歌已于9月2日发布安全补丁以应对该问题，但研究团队表示，他们已找到新的规避路径，现有修复措施无法彻底阻断攻击链。

在三星设备上的测试显示，由于屏幕渲染过程中存在较大噪音干扰，2FA代码恢复成功率受限，尚未实现完整提取，但仍需警惕其后续优化可能带来的风险。

用户应如何防范？

专家建议用户避免安装来源不明的应用程序，定期更新系统和应用，关闭非必要权限，并优先使用硬件级安全模块（如Titan M芯片）保护关键账户。

同时，建议采用物理令牌或基于生物识别的身份验证方式替代纯软件2FA，以提升账户整体安全性。

生成的图像：Midjourney