新型攻击30秒即可窃取双重验证码！影响所有Android手机

10月15日消息，在2025年ACM计算机与通信安全会议上，研究人员展示了一种名为“Pixnapping”的新型旁路攻击方式。

这种攻击针对Android设备，能够在不到30秒的时间内窃取敏感屏幕数据，其利用了Android的核心API和图形处理单元（GPU）中的硬件漏洞，几乎影响所有现代Android手机，且无需特殊权限。

这种攻击利用了Android的Intent系统，该系统允许应用程序无缝启动其他应用，结合多层半透明活动覆盖目标屏幕。

恶意应用通过发送Intent打开目标应用（如Google Authenticator），然后使用遮罩技术叠加几乎不可见的窗口，以隔离特定像素。

这些覆盖层通过Android的合成引擎SurfaceFlinger应用模糊效果，由于GPU数据压缩（称为“GPU.zip”）的特性，不同颜色的像素会导致渲染时间的差异。

研究人员针对短暂数据（如2FA代码）优化了该技术，采用类似光学字符识别（OCR）的探测方法，仅需定位Google Sans字体中每个数字的四个关键像素，即可在验证码失效前完成重构。

而且Pixnapping攻击的影响范围不仅限于2FA代码，还能绕过Signal的屏幕安全防护窃取私密消息，获取Google Maps中的位置历史记录以及Venmo中的交易详情。

对Google Play中96783款应用进行的调查显示，所有应用至少有一个可被intent调用的导出活动；而网络分析显示，Pixnapping攻击使99.3%的顶级网站面临风险，远远超过过时的基于iframe的攻击。

Google已将该漏洞定性为高危（CVE-2025-48561），并于2025年9月为Pixel设备发布了补丁，三星则认为该漏洞的实现复杂性较高，将其定性为低危。

为了缓解这种攻击，专家建议通过应用白名单限制透明覆盖层，并监控异常应用行为，用户还应及时更新设备，并仔细检查应用安装。