您认为您的 Android 手机安全吗?研究人员发现的一个新安全漏洞导致现代 Android 智能手机面临致命恶意网络攻击的风险。这种被称为“Pixnapping”的复杂攻击允许恶意且权限较低的应用程序窃取用户屏幕上显示的高度敏感信息。请注意,“可窃取”信息包括双因素身份验证 (2FA) 代码、私人消息和位置时间线。
该安全漏洞编号为 CVE-2025-48561,据称会影响所有现代 Android 手机,甚至对 Google Pixel 10 和三星 Galaxy S25 Ultra 等最近推出的高端设备也构成严重风险。
来自加州大学伯克利分校、加州大学圣地亚哥分校、卡内基梅隆大学和华盛顿大学等机构的研究人员证明,恶意应用程序可以从 Google Authenticator、Signal、Gmail、Google 地图和 Venmo 等流行的验证应用程序中恢复敏感数据。
Android 上的 Pixnapping 威胁:如何运作
研究人员表示,就 Google Authenticator 而言,Pixnapping 漏洞允许攻击者在 30 秒内窃取关键的 2FA 代码,同时对用户保持隐藏状态。据说,当目标应用程序打开时,任何可见的东西都可能受到损害。
Pixnapping 的工作原理是将映射的像素坐标转换为可识别的字母数字字符或几何形状。这个三步过程首先是恶意应用程序发起调用,强制目标应用程序显示特定数据(例如消息线程或身份验证代码),并将它们发送到 Android 渲染管道。
第二步涉及恶意应用程序对正在处理渲染的各个像素执行基本的重复图形操作。通过对目标像素坐标的颜色运行简单的二进制检查,应用程序可以进入最后阶段:测量每个坐标所花费的时间。通过结合这些时间测量,攻击者可以重建发送到渲染管道的数据图像,一次一个像素。
该漏洞通常会成功,因为它不需要系统级权限,绕过典型的 Android 安全机制。
安卓用户应该做什么?
发现该漏洞后,谷歌已通过 9 月份 Android 安全公告发布了针对该漏洞的安全补丁。该公司还承诺在 12 月的 Android 安全公告中发布更全面的补丁。
另一方面,研究人员已经开发出一种解决方法,即使在谷歌的部分补丁之后,Pixnapping 也能正常运行。谷歌表示,目前没有证据表明 Pixnapping 攻击已被恶意行为者利用。
