游乐游手机版
首页/手机教程/文章详情

安卓2FA验证码30秒被盗!Pixel 9、S25等手机面临新攻击风险

时间:2025-10-15 11:08
10 月 14 日消息,科技媒体 Ars Technica 今天(10 月 14 日)发布博文,披露了“Pixnapping”的安卓新型攻击,在谷歌 Pixel 9 等手机上演示成功,可在 30

据10月14日Ars Technica科技媒体报道,安全研究人员发现名为“Pixnapping”的新型安卓攻击技术。该攻击能在谷歌Pixel 9等设备上实现30秒内盗取验证码,最高成功率可达73%。

这项由加州大学伯克利分校Alan Wang团队主导的研究,已在10月13日至17日举办的第32届ACM计算机与通信安全会议上正式公布。

“Pixnapping”攻击只需诱使用户安装恶意应用,该应用无需获取任何系统权限,就能秘密读取设备屏幕上其他应用显示的敏感内容,包括双重认证验证码、聊天记录、电子邮件和位置轨迹等信息。

研究人员已成功在谷歌Pixel 6至9系列以及三星Galaxy S25设备上演示该攻击。经技术调整后,理论上该攻击可适用于其他安卓机型。

研究指出,“Pixnapping”与2024年发现的GPU.zip攻击原理相似,均利用GPU渲染过程中产生的侧信道漏洞。攻击过程分为三个关键步骤:

首先,恶意应用通过调用安卓系统接口,强制目标应用(如谷歌身份验证器)将敏感信息渲染至屏幕;

随后,在目标内容上方执行特定图形操作,通过测量每个像素渲染时间的细微差异,推断出对应像素的颜色数值;

最后,通过逐像素重复这一过程,攻击者能够逐步重建屏幕上显示的图像或文字内容,实现信息窃取。

针对具有时效性的双因素认证验证码,攻击速度尤为关键。研究数据显示,该技术在不同Pixel机型上平均仅需14至26秒即可完整获取6位验证码,完全满足30秒有效期内的攻击需求,成功率介于29%至73%之间。

不过由于信号噪声影响,该攻击目前在三星Galaxy S25设备上还无法在30秒内完成。研究人员警告,任何在屏幕上可见的信息都存在被窃取的风险。

对于该漏洞(编号CVE-2025-48561),谷歌表示已在9月安卓安全公告中部署初步防护方案,并计划于12月安全更新中推出完整修复补丁。谷歌同时确认,目前尚未监测到任何利用此漏洞的实际攻击案例。

来源:https://www.ithome.com/0/889/349.htm
上一篇华为双11购机指南:Mate/Pura/nova至高省1500元 下一篇荣耀Magic8 Pro跑分实测:安兔兔常温性能突破428万
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
手机教程 · 2026-06-30

百度街景功能详解与实景地图应用场景指南

出门前想确认酒店门口好不好停车、餐厅招牌挂在哪一边、或者提前“走一遍”陌生地铁站的出口——这些需求,百度街景功能都能满足。它不是静态图片,而是一张可拖拽、可缩放、带时间戳的360度实景地图,直接把真实街道拉到手机屏幕上。不过,这个功能默认是隐藏的,需要手动打开。 打开街景的三种常用路径 方法一:图层

手机教程 · 2026-06-30

中羽论坛备用入口稳定访问方式完整指南

相信不少羽毛球爱好者都遇到过这样的情况:常逛的羽毛球论坛突然打不开,或者域名更换后一时找不到新入口,心里难免着急。中羽论坛作为国内羽毛球圈重要的社区平台,它的备用入口稳定访问方式在哪里?直接给出答案:https: www badmintoncn com,这个网址是目前最可靠的稳定入口。解决了访问“

手机教程 · 2026-06-30

TapTap老版本官方下载方法 历史版本降级详细教程

想恢复 TapTap 老版本界面、规避新版本强制推送与社区限流,却找不到官方历史安装包入口?这是许多用户遇到的常见问题——目前 TapTap 官网及应用商店已全面下架旧版 APK 下载渠道。实际上,在豌豆荚「历史版本大全」专题页面中,仍可获取完整的老版本资源。只需认准 wandoujia com 域

手机教程 · 2026-06-30

百度街景多久更新一次实景拍摄频率解析

你是否好奇,家楼下新开的奶茶店是否已被百度街景收录?或者导航地图上那个施工围挡,究竟是上周刚竖起的,还是去年拍摄的旧画面?这个问题的答案,直接取决于百度的街景更新策略——官方虽未公布统一周期,但如果你住在北上广深的核心城区,主干道每三个月重采一次已是常态;而换到县城的一条小巷,五年未更新的老数据也毫

手机教程 · 2026-06-30

小米商店查看并删除应用购买记录的方法

小米应用商店的购买记录并没有独立设置一个“查看入口”,而是整合在小米账户的订单体系之中。若想删除这些记录,需要先打开小米商城App,依次进入“我的→全部订单→筛选‘应用 服务’→选择对应订单→删除”。至于设备本地显示的购买标识,可以通过清除应用存储来强制刷新。而对于自动续费类的订阅服务,则必须前往小