新型安卓攻击“Pixnapping”威胁用户隐私：2FA代码、电子邮件和位置数据可被窃取

最新研究报告显示，尽管谷歌一直致力于修复系统漏洞，但 Android 用户仍面临一种全新的严重威胁。

来自加州大学伯克利分校、华盛顿大学、加州大学圣地亚哥分校和卡内基梅隆大学的研究团队发表了一篇论文，详细描述了一种名为“Pixnapping”的新型攻击方式。该攻击允许恶意应用程序窃取用户的敏感屏幕数据，包括双重身份验证（2FA）代码、电子邮件内容以及位置历史记录。

研究人员指出，这种攻击利用了 Android 的渲染管道，并成功绕过了浏览器的安全保护机制。

“恶意应用程序可以通过使用意图打开受害者活动，强制将受害者的屏幕像素推入渲染管道，并通过半透明活动堆栈对这些像素进行计算。”

我们演示了一种端到端攻击，能够在短短30秒内从 Google Authenticator 中秘密窃取安全关键且短暂的 2FA 代码。”

尽管谷歌在 9 月 2 日发布了一个补丁试图解决这一问题，但研究人员表示，他们已经找到了规避方法，现有补丁无法完全阻止攻击。

据悉，这种攻击方式已在多款设备上成功测试，包括 Google Pixel 6、7、8、9 和三星 Galaxy S25 手机。

不过，研究人员提到，在三星 Galaxy 设备上，由于“噪音干扰过大”，2FA 代码恢复攻击未能完全成功，仍需进一步优化以实现数据提取。

生成的图像：Midjourney