Android 設備有 容易受到新攻擊的影響,這種攻擊可以在 30 秒內秘密竊取雙因素身份驗證碼、網站時間線和其他私人數據。
設計這種新攻擊的學術研究團隊將其稱為 Pixnapping,它要求受害者首先在 Android 手機或平板電腦上安裝惡意應用程序。該應用程序不需要係統權限,可以有效讀取任何其他已安裝的應用程序在屏幕上顯示的數據。 Pixnapping 已在 Google Pixel 手機和三星 Galaxy S25 上進行了演示,並且可能會進行修改以在其他型號上進行額外的工作。谷歌上個月發布了緩解措施,但研究人員表示,即使安裝了更新,攻擊的修改版本仍然有效。
就像截圖一樣
Pixnapping 攻擊從調用 Android 編程接口的惡意應用程序開始,導致身份驗證器或其他目標應用程序將敏感信息發送到設備的屏幕。然後,惡意應用程序對攻擊者感興趣的各個像素運行圖形操作。然後 Pixnapping 利用了 側通道 它允許惡意應用程序將這些坐標處的像素映射到字母、數字或形狀。
研究人員在博客文章中寫道:“目標應用程序打開時可見的任何內容都可能被惡意應用程序使用 Pixnapping 竊取。” 信息網站。 “聊天消息、雙因素身份驗證碼、電子郵件等都容易受到攻擊,因為它們是可見的。如果應用程序包含不可見的機密信息(例如,它存儲了密鑰但從未在屏幕上顯示),則 Pixnapping 無法竊取該信息。”
新的攻擊類別讓人想起 GPU.zip,2023 年的一次攻擊,允許惡意網站讀取其他網站顯示的用戶名、密碼和其他敏感視覺數據。它通過利用所有主要供應商的 GPU 中的現有側通道取得了成功。 GPU.zip利用的漏洞從未得到修補。相反,通過限制瀏覽器打開 iframe 的能力來阻止瀏覽器的攻擊,iframe 是一種 HTML 元素,允許一個網站(在 GPU.zip 的情況下為惡意網站)嵌入來自不同域的網站內容。
Pixnapping 的目標與 GPU.zip 相同的側通道,特別是給定幀在屏幕上顯示所需的具體時間。
