研究人员在2025年ACM计算机与通信安全会议上,展示一种名为“Pixnapping”的新型旁路攻击方式,能在30秒内从Android设备窃取敏感屏幕数据。这种攻击利用Android核心API和图像处理单元(GPU)的硬件漏洞,几乎影响所有现代Android手机,而且无需特殊权限。
Pixnapping攻击利用Android Intent系统,该系统允许应用程序无缝启动其他应用,并结合多层半透明活动覆盖目标屏幕。恶意应用程序通过发送Intent打开目标应用程序(如Google Authenticator),然后使用遮罩技术叠加几乎不可见的窗口,借此隔离特定像素。这些覆盖层通过Android合成引擎SurfaceFlinger应用模糊效果。由于GPU数据压缩(称为“GPU.zip”)的特性,不同颜色的像素会引致渲染时间的差异。
研究人员针对短暂数据(如双重验证码)改良了该技术,采用类似光学字符识别(OCR)的探测方法,只需定位Google Sans字体中每个数字的4个关键像素,即可在验证码失效前完成重构。测试显示,研究人员成功从Google Authenticator取得双重验证码的成功率介于29%至73%,根据设备型号而定,平均在30秒内能成功获取完整的6位数验证码。
Pixnapping攻击的影响范围除了双重验证码,也能绕过Signal屏幕安全防护窃取私密消息,获取Google Maps的位置历史记录以及Venmo的交易详情。研究团队对Google Play中96,783款应用程序进行的调查显示,所有应用程序至少有一个可被intent调用的导出活动。网络分析显示,Pixnapping攻击使99.3%的顶级网站面临风险,远远超过旧有的iframe攻击方式。
研究团队在5款设备上测试Pixnapping攻击,包括Google Pixel 6、Pixel 7、Pixel 8、Pixel 9以及Samsung Galaxy S25,这些设备执行Android 13至Android 16版本(最高至build id BP3A.250905.014)。虽然尚未确认其他厂商的Android设备是否受影响,但由于攻击利用的核心机制普遍存在于所有Android设备,因此该漏洞可能影响各大厂商的大量智能手机。
Google已将该漏洞定性为高危(CVE-2025-48561),并于2025年9月为Pixel设备发布修补程序。Google尝试通过限制访问某些API缓解问题,但研究团队其后发现一个应变方法,恢复了攻击的有效性。截至2025年10月13日,Android仍然存在此漏洞。Samsung则认为该漏洞的实现复杂性较高,将其定性为低风险。
Carnegie Mellon University助理教授Riccardo Paccagnella表示:“概念上,这就如任何应用程序都可以在没有权限下,对其他应用程序或网站进行截屏,这从根本上违反了Android安全模型”。为缓解这种攻击,专家建议通过应用程序白名单限制透明覆盖层,并监控异常的应用程序行为。用户也应及时更新设备,并仔细检查应用程序安装。专家也建议使用基于硬件的双重验证方法,例如YubiKey。
数据源:arctechnica
