網絡研究人員發現了一種影響 Android 設備的新型攻擊,並表示它可以讓黑客在幾秒鐘內獲取您的私人數據。
這包括私人對話、短信、電子郵件甚至雙因素身份驗證碼 (2FA), 技術藝術 報導稱。
這種攻擊被發現它的研究人員團隊稱為“pixnapping”,可用於從屏幕上顯示的任何數據中導出信息。首先,受害者必須下載惡意應用程序。一旦安裝了該應用程序,在受害者不提供進一步設備權限的情況下,可能會發生像素捕捉攻擊。
他報告說:“打開 Target 應用程序時可見的任何內容都可以通過像素捕捉從惡意應用程序中竊取” pixnapping 網站上的一條消息研究人員創建的資源,用於共享有關攻擊的信息。 “聊天消息、2FA 代碼、電子郵件等。它們都很容易受到攻擊,因為它們是可見的。”
據 pixnapping 網站稱,一份新的研究文件詳細介紹了該漏洞,該文件是加州大學、華盛頓大學、加州大學聖地亞哥分校和卡內基大學七名研究人員合作的一部分。一個 論文的準備題為“Pixnapping:從石器時代竊取像素”的文章可在線獲取,並將於本週在第 32 屆 ACM 台灣計算機和通信安全大會上發布。
快速亮燈速度
無法在 Android 屏幕上顯示的信息(例如使用星號的密鑰)無法通過像素捕捉攻擊從黑客那裡竊取。這是因為攻擊的方式 正在運行。
一旦受害者安裝了惡意應用程序,他就會利用 Android API 來攻擊其他能夠訪問敏感數據的應用程序。然後,應用程序可以使用非自願數據洩漏(也稱為側面材料通道)訪問屏幕上顯示的像素。惡意應用程序將這些單獨的像素推送到性能導體,其中 Pixnapping 攻擊執行圖形功能。這種情況一直持續到視覺字符識別(OCR)意味著應用程序可以從視覺中提取文本。
事實上,設備屏幕上出現的任何信息都可能被盜。
“從概念上講,就好像惡意應用程序獲取了屏幕上不應訪問的內容的屏幕截圖,”pixnapping 網站表示。
研究人員檢查了對 Google Pixel 6 至 9 智能手機以及三星 Galaxy S25 的 Pixnapping 攻擊,這些智能手機運行許多不同版本的 Android 移動操作系統(從 Android 13 到 16)。
雖然這絕對是新聞,但研究人員表示,他們不知道任何現實世界中野外利用的例子。
網絡空間團隊於二月份向谷歌通報了 Android 的漏洞。谷歌上個月發布了第一個像素小睡補丁。不過,研究人員幾天后就發現了解決方案,並再次通知了谷歌。谷歌說他會做 發布 12 月 Android 安全卡中的附加 pixnapping 補丁。
