网络安全研究人员近期发现一种针对Android设备的新型攻击方式,能够在短短数秒内窃取用户的私人数据。这种被命名为”Pixnapping”的攻击技术可以提取屏幕上显示的任何信息,包括私人聊天记录、短信、电子邮件,甚至双重验证(2FA)代码。
据研究人员建立的专门网站介绍,受害者只需下载恶意应用程序,攻击即可在无需额外设备权限的情况下实施。”当目标应用打开时,屏幕上可见的所有内容都可能被恶意应用通过Pixnapping窃取”,研究团队在网站上明确表示。
这项漏洞研究由加州大学伯克利分校、华盛顿大学、加州大学圣地亚哥分校和卡内基梅隆大学的七名研究人员共同完成。相关论文《Pixnapping:让像素窃取走出石器时代》已在线发布,并将于本周在台湾举行的第32届ACM计算机与通信安全会议上正式发表。
攻击机制解析显示,恶意应用会利用Android API针对存有敏感数据的其他应用,通过硬件侧信道获取屏幕显示的像素数据。这些像素数据经过渲染管道处理后,最终通过光学字符识别技术提取出可读文本。研究团队形象地描述:”从概念上讲,就像恶意应用在对其本无权访问的屏幕内容进行截图。”
值得注意的是,使用星号等符号隐藏的机密信息不会受到此类攻击影响。研究人员已在Google Pixel 6至9系列及三星Galaxy S25等多款设备上测试成功,受影响系统涵盖Android 13至16多个版本。
尽管目前尚未发现实际攻击案例,但这一发现仍引起广泛关注。研究团队已于今年2月向Google报告此漏洞,Google在上个月发布了首个修复补丁。然而研究人员在数日内又发现了规避方法,促使Google承诺将在12月的Android安全公告中发布额外补丁。
这一发现凸显了移动设备安全防护的持续挑战,提醒用户应保持系统更新,仅从官方应用商店下载应用,以最大限度降低安全风险。
