安卓2FA验证码30秒被盗!Pixel 9、S25等手机面临新攻击风险
据10月14日Ars Technica科技媒体报道,安全研究人员发现名为“Pixnapping”的新型安卓攻击技术。该攻击能在谷歌Pixel 9等设备上实现30秒内盗取验证码,最高成功率可达73%。
这项由加州大学伯克利分校Alan Wang团队主导的研究,已在10月13日至17日举办的第32届ACM计算机与通信安全会议上正式公布。
“Pixnapping”攻击只需诱使用户安装恶意应用,该应用无需获取任何系统权限,就能秘密读取设备屏幕上其他应用显示的敏感内容,包括双重认证验证码、聊天记录、电子邮件和位置轨迹等信息。
研究人员已成功在谷歌Pixel 6至9系列以及三星Galaxy S25设备上演示该攻击。经技术调整后,理论上该攻击可适用于其他安卓机型。
研究指出,“Pixnapping”与2024年发现的GPU.zip攻击原理相似,均利用GPU渲染过程中产生的侧信道漏洞。攻击过程分为三个关键步骤:
首先,恶意应用通过调用安卓系统接口,强制目标应用(如谷歌身份验证器)将敏感信息渲染至屏幕;
随后,在目标内容上方执行特定图形操作,通过测量每个像素渲染时间的细微差异,推断出对应像素的颜色数值;
最后,通过逐像素重复这一过程,攻击者能够逐步重建屏幕上显示的图像或文字内容,实现信息窃取。
针对具有时效性的双因素认证验证码,攻击速度尤为关键。研究数据显示,该技术在不同Pixel机型上平均仅需14至26秒即可完整获取6位验证码,完全满足30秒有效期内的攻击需求,成功率介于29%至73%之间。
不过由于信号噪声影响,该攻击目前在三星Galaxy S25设备上还无法在30秒内完成。研究人员警告,任何在屏幕上可见的信息都存在被窃取的风险。
对于该漏洞(编号CVE-2025-48561),谷歌表示已在9月安卓安全公告中部署初步防护方案,并计划于12月安全更新中推出完整修复补丁。谷歌同时确认,目前尚未监测到任何利用此漏洞的实际攻击案例。
热门专题
热门推荐
MiniCPM-o 4 5是什么 在探索更自然、更智能的人机交互道路上,我们始终在期待一个“全能型选手”的到来。如今,这个角色或许已经登场。面壁智能最新开源的MiniCPM-o 4 5,一个仅拥有90亿参数的全模态大模型,正致力于重新划定“智能对话”的边界。 它彻底颠覆了传统一问一答的“对讲机”式交
Binance币安 欧易OKX ️ Huobi火币️ 想在2025年安全获取欧易OKX的正版APP?其实秘诀就一个:认准官方网站,避开所有仿冒和可疑的下载渠道。要知道,欧易现已统一更名为欧易OKX,其核心业务始终围绕数字资产交易及相关服务展开。 确认官方网站地址 第一步,打开浏览器,手动输入欧易OK
SecondMe Book是什么 在AI社交这一前沿赛道,一款国产平台正带来独特的解决方案。SecondMe Book,本质上是一个能够让你构建个人AI数字分身的创新平台。它允许用户创建一个能够代表真实自我风格与思维的AI数字身份,并让这个“第二自我”在一个专属的AI社交网络中自主运行——包括主动发
在AI大模型技术快速发展的今天,如何在卓越性能与高效推理成本之间取得最佳平衡,已成为行业关注的核心焦点。近期,由阶跃星辰推出的开源模型Step 3 5 Flash引发了广泛热议。该模型专为智能体(AI Agent)应用场景深度优化,旨在顶尖能力与亲民部署成本之间,构建一个极具竞争力的技术支点。 简而
LongCat-Flash-Lite是什么 在探索大语言模型性能与效率的最佳平衡点时,美团近期推出的LongCat-Flash-Lite提供了一个极具创新性的解决方案。作为新一代高效大语言模型,它凭借其突破性的架构设计,在人工智能领域获得了广泛关注。 简而言之,该模型创新性地融合了“混合专家系统(M