發生了什麼: 安全研究人員有 煥然一新 一種基於瀏覽器的數據竊取技術以Android設備為目標,創造了一種名為pixnapping的強大新攻擊。
- 該方法允許惡意 Android 應用程序竊取其他應用程序或網站上出現的數據 – 包括來自 Google、Gmail、Signal、Venmo 的敏感信息,甚至來自 Authenticator Google 的 2FA 代碼 – 無需特殊許可。
- Pixnapping 的運行方式是利用一個側通道(GPU.ZIP)來通過效率讀取篩選數據。通過塗層透明活動和像素執行的時間表有多快,攻擊者可以重建像素內容內容。儘管該技術每秒只有 0.6 至 2.1 像素,但足以恢復身份驗證碼等敏感數據。
- 該漏洞 CVE-2025-48561 影響 Android 13 至 16 設備(包括 Pixel 6-9 和 Galaxy S25)。部分補丁已於 2025 年 9 月發布,預計 12 月將發布更完整的解決方案。
為什麼它很重要: Pixnapping 暴露了 Android GPU 性能和架構的根本缺陷,證明即使是在長路徑上已經解決的攻擊也可以以新的形式重新出現。
- 由於不需要特殊權限,Google Play 商店下載的看似無害的應用程序可能會秘密監視屏幕上的敏感數據。
- 這次攻擊還凸顯了側通道漏洞的一個更廣泛的問題——由軟件錯誤引起的悲劇,但由其處理硬件數據的方式引起。
- 這些問題很難識別和糾正,給移動安全帶來持續的挑戰。
我為什麼要關心: 如果您使用 Android,這項調查強調了在沒有任何操作或用戶警告的情況下竊取專有數據的能力。
- 應用程序可以通過簡單地觀察您的屏幕活動來收集敏感詳細信息,例如銀行信息、2FA 代碼或位置數據。
- 儘管谷歌表示沒有證據表明存在利用行為,但這種攻擊的存在本身就表明惡意軟件可以繞過傳統的安全防禦。
接下來會發生什麼: Google 開發了進一步的修正措施來限制 API 模糊的濫用並改進檢測。然而,研究人員警告說,已經有解決方案,但潛在的漏洞 gpu.zip 仍未解決。在找到永久解決方案之前,用戶將不得不限制不可靠應用程序的安裝並更新設備。安全專家還預計,隨著攻擊者改進這些複雜的技術,將會出現更多的旁道攻擊,例如像素捕捉。
