30秒攻破双重验证:新型攻击威胁所有安卓手机
10月15日消息,在2025年ACM计算机与通信安全会议上,研究人员展示了一种名为“Pixnapping”的新型旁路攻击方式。
这种攻击针对Android设备,能够在不到30秒的时间内窃取敏感屏幕数据,其利用了Android的核心API和图形处理单元(GPU)中的硬件漏洞,几乎影响所有现代Android手机,且无需特殊权限。
这种攻击利用了Android的Intent系统,该系统允许应用程序无缝启动其他应用,结合多层半透明活动覆盖目标屏幕。
恶意应用通过发送Intent打开目标应用(如Google Authenticator),然后使用遮盖技术叠加几乎不可见的窗口,以隔离特定像素。
这些覆盖层通过Android的合成引擎SurfaceFlinger应用模糊效果,由于GPU数据压缩(称为“GPU.zip”)的特性,不同颜色的像素会导致渲染时间的差异。
研究人员针对短暂数据(如2FA代码)优化了该技术,采用类似光学字符识别(OCR)的探测方法,仅需定位Google Sans字体中每个数字的四个关键像素,即可在验证码失效前完成重构。
而且Pixnapping攻击的影响范围不限于2FA代码,还能绕过Signal的屏幕安全防护窃取私密消息,获取Google Maps中的位置历史记录以及Venmo中的交易详情。
对Google Play中96783款应用进行的调查显示,所有应用至少有一个可被intent调用的导出活动;而网络分析显示,Pixnapping攻击使99.3%的顶级应用面临风险,远远超过过时的基于iframe的攻击。
Google已将该漏洞定性为高危(CVE-2025-48561),并于2025年9月为Pixel设备发布了补丁,三星则认为该漏洞的实现复杂性较高,将其定性为低危。
为了缓解这种攻击,专家建议通过应用白名单限制透明覆盖层,并监控异常应用行为,用户还应及时更新设备,并仔细检查应用安装。
相关攻略
10月15日消息,在2025年ACM计算机与通信安全会议上,研究人员展示了一种名为“Pixnapping”的新型旁路攻击方式。这种攻击针对Android设备,能够在不到30秒的时间内窃取敏感屏幕数据
12月2日消息,今日下午,小米集团董事长特别助理、战略市场部副总经理徐洁云在微博发文,分享自己手机短信界面的截图,并附文:“突然就来了,真是无聊。 ”截图显示,其手机疑似遭遇短信轰炸,在短短数分钟内
抢票的时候,突然弹出来这么个玩意儿,你能选对吗?换个拼图,你每次都能一口气对准吗?就连有时候打个勾,你可能都得多试两次。和验证码斗智斗勇这么多年,说实话,咱都有点麻了。但要是我告诉你,现在上面这些验
抢票的时候,突然弹出来这么个玩意儿,你能选对吗?换个拼图,你每次都能一口气对准吗?就连有时候打个勾,你可能都得多试两次。和验证码斗智斗勇这么多年,说实话,咱都有点麻了。但要是我告诉你,现在上面这些验
传统的项目大都是基于session交互的,前后端都在一个项目里面,比如传统的SSH项目或者一些JSP系统,当前端页面触发到获取验证码请求,可以将验证码里面的信息存在上下文中,所以登录的时候只需要 用
热门专题
热门推荐
在《燕云十六声》中领悟“菩提苦海”,需沉浸探索游戏世界。主线剧情构建认知框架,战斗观察、场景细节与NPC对话皆暗藏线索。通过多元视角拼凑因果,方能深入理解游戏蕴含的宏大叙事与深邃魅力。
2026年618大促的序幕刚刚拉开,初期战报已经透露出一些耐人寻味的信号。截至5月21日,海信电视在京东平板电视累计销售竞速榜上拔得头筹,其RGB-Mini LED爆款王——海信小墨E5S Pro,更是同时拿下了天猫平板电视和抖音大家电的5 20单品销冠。 这并非偶然。奥维云网的全渠道监测数据给出了
充电桩领域的“军备竞赛”再次迎来重磅升级。5月22日,极氪汽车正式发布了其全新一代液冷超级充电桩,将单枪峰值功率一举提升至行业领先的800kW,标志着超充技术迈入新阶段。 根据官方披露的核心信息,这款超充桩主要具备四大优势:极速补能、高效节能、广泛适配与多重安全。具体而言,其单枪峰值电流高达800A
获取电弧机剑主要有五种途径:推进主线任务以解锁线索;探索遗迹、工厂等特定区域;挑战特定副本与Boss;完成提及传说武器或遗物的支线任务;参与限时活动并达成要求。玩家可根据偏好选择或组合多种方式获取该武器。
小米汽车再次为潜在车主带来惊喜福利!即日起至5月31日,用户只需提前完成预约,并到店参与任意车型的试驾体验,即可免费获赠一款1:64精致合金车模。车模款式与颜色随机发放,为试驾过程增添一份专属的收藏乐趣,诚意十足。 参与本次活动需注意以下细则:试驾必须通过官方渠道提前预约;各授权门店的车模备货数量不