据科技媒体 Ars Technica 报道,学术研究团队近日披露了一种名为「Pixnapping」的新型攻击方式,能够在不到 30 秒的时间内窃取 Android 设备上的双重验证(2FA)验证码、聊天记录和其他敏感信息。
研究人员指出,Pixnapping 攻击需要用户事先安装一款恶意应用,但该应用无需任何系统权限,即可通过调用 Android 接口诱导目标应用在屏幕上显示敏感内容。
随后,恶意应用会利用 GPU 渲染的时间差来逐像素重建屏幕信息,从而获取验证码或消息内容。
测试显示,该攻击已在 Google Pixel 系列和三星 Galaxy S25 上成功演示。
研究团队在 Pixel 6 至 Pixel 9 上的实验中,能够在 30 秒有效期内恢复出完整的 6 位验证码,成功率最高达 73%。不过,在 Galaxy S25 上由于噪声干扰,攻击未能在时限内完成。
Google 表示,已在 9 月的 Android 安全公告中发布了部分缓解措施,并计划在 12 月的更新中进一步修复漏洞。
目前,尚无证据显示该攻击已在现实环境中被利用。
研究人员强调,Pixnapping 揭示了 Android 应用间隔离机制的局限性,提醒用户在安装应用时保持谨慎。
