Android新漏洞Pixnapping曝光:2FA代码30秒被窃
2025-10-16 00:13 loading...
一份由加州大学伯克利分校、华盛顿大学、加州大学圣地亚哥分校与卡内基梅隆大学联合发布的研究报告指出,尽管谷歌持续修补漏洞,安卓用户仍面临一种前所未有的安全威胁。
新型攻击方式:Pixnapping如何运作
研究人员揭露了一种名为“Pixnapping”的攻击手段,该方法利用安卓系统的渲染管道特性,绕过浏览器安全机制,实现对用户屏幕内容的隐蔽读取。
恶意应用程序通过发送特定意图(Intent),强制将目标应用的界面像素推入渲染堆栈,并借助半透明活动层进行像素级计算,从而在不触发用户警报的情况下提取敏感信息。
攻击目标:2FA代码与隐私数据
该攻击可精准窃取双重身份验证(2FA)代码、电子邮件正文、位置历史记录等高敏感数据。研究团队演示了端到端攻击流程,仅需30秒即可从Google Authenticator中成功提取临时验证码。
值得注意的是,此类攻击已在Google Pixel 6、Pixel 7、Pixel 8、Pixel 9及三星Galaxy S25等主流设备上完成验证,显示出广泛的潜在影响范围。
补丁失效?规避技术已现
谷歌已于9月2日发布安全补丁以应对该问题,但研究团队表示,他们已找到新的规避路径,现有修复措施无法彻底阻断攻击链。
在三星设备上的测试显示,由于屏幕渲染过程中存在较大噪音干扰,2FA代码恢复成功率受限,尚未实现完整提取,但仍需警惕其后续优化可能带来的风险。
用户应如何防范?
专家建议用户避免安装来源不明的应用程序,定期更新系统和应用,关闭非必要权限,并优先使用硬件级安全模块(如Titan M芯片)保护关键账户。
同时,建议采用物理令牌或基于生物识别的身份验证方式替代纯软件2FA,以提升账户整体安全性。
生成的图像:Midjourney
相关阅读
-
BNB链上交易量创新高,Aster虚假交易疑云引发市场震荡区块链资讯 2025-10-11 19:31
-
黄金白银创历史新高,避险需求推动价格飙升比特币资讯 2025-12-23 04:35
-
Galaxy Digital豪掷4.86亿美元押注Solana,机构信心飙升区块链资讯 2025-09-12 15:18
-
MSTR抄底时机:三大关键问题解析比特币财库股未来走势区块链资讯 2025-12-23 22:26
-
Crypto.com VISA卡详解:加密货币信用卡如何申请与使用数字货币钱包 2025-06-29 20:57
-
马斯克宣布Vine以AI形式回归,VINE代币暴涨62%区块链资讯 2025-07-25 00:13
-
OKX易欧交易所v6.124.1官方正版地址发布,安全与体验双升级WEB3.0 2025-06-24 20:02
-
BNB Chain模因币日收入超Pump.fun,Meme生态竞争加剧区块链资讯 2025-10-12 02:24
-
Hyperliquid冲70美元,BlockchainFX预售引爆百倍收益潮区块链资讯 2025-09-12 22:17
-
狗狗币ETF获批在即,0.25美元关口成关键突破点区块链资讯 2025-09-12 14:19