loading...
一份由加州大学伯克利分校、华盛顿大学、加州大学圣地亚哥分校与卡内基梅隆大学联合发布的研究报告指出,尽管谷歌持续修补漏洞,安卓用户仍面临一种前所未有的安全威胁。
研究人员揭露了一种名为“Pixnapping”的攻击手段,该方法利用安卓系统的渲染管道特性,绕过浏览器安全机制,实现对用户屏幕内容的隐蔽读取。
恶意应用程序通过发送特定意图(Intent),强制将目标应用的界面像素推入渲染堆栈,并借助半透明活动层进行像素级计算,从而在不触发用户警报的情况下提取敏感信息。
该攻击可精准窃取双重身份验证(2FA)代码、电子邮件正文、位置历史记录等高敏感数据。研究团队演示了端到端攻击流程,仅需30秒即可从Google Authenticator中成功提取临时验证码。
值得注意的是,此类攻击已在Google Pixel 6、Pixel 7、Pixel 8、Pixel 9及三星Galaxy S25等主流设备上完成验证,显示出广泛的潜在影响范围。
谷歌已于9月2日发布安全补丁以应对该问题,但研究团队表示,他们已找到新的规避路径,现有修复措施无法彻底阻断攻击链。
在三星设备上的测试显示,由于屏幕渲染过程中存在较大噪音干扰,2FA代码恢复成功率受限,尚未实现完整提取,但仍需警惕其后续优化可能带来的风险。
专家建议用户避免安装来源不明的应用程序,定期更新系统和应用,关闭非必要权限,并优先使用硬件级安全模块(如Titan M芯片)保护关键账户。
同时,建议采用物理令牌或基于生物识别的身份验证方式替代纯软件2FA,以提升账户整体安全性。
生成的图像:Midjourney
371
610
916
558
111
218
278
852
270
195
