新型“Pixnapping”攻击揭示安卓设备屏幕信息窃取风险

近期，科技界引发广泛关注的“Pixnapping”攻击在安卓设备上取得了显著的突破，这一新型攻击手法的曝光揭示了安卓系统中潜藏的安全隐患。根据加州大学伯克利分校的研究团队的研究，该攻击可以在不需要任何系统权限的情况下，窃取设备屏幕上显示的信息，包括涉及安全的双因素认证（2FA）验证码、聊天记录、邮件内容及位置信息等。

这项研究于2023年10月13日至17日进行的第32届ACM计算机与通信安全会议上正式发布，研究团队由Alan Wang等多位学者组成，他们在谷歌Pixel 6、7、8及9等手机上成功展示了该攻击的实施。值得注意的是，理论上，经过修改的攻击手法也有可能在其他安卓设备上得逞。

Pixnapping攻击的原理

“Pixnapping”攻击的基本原理与2023年曝光的GPU.zip攻击相似，二者均利用了GPU渲染过程中存在的侧信道漏洞。该攻击的实施过程可以概括为三个步骤：

1. 诱导用户安装恶意应用：攻击者通过各种手段（例如，钓鱼网站、伪装软件等）诱使用户下载和安装一个恶意应用程序。这个应用程序并不需要特殊的系统权限，因此可以秘密操作。

2. 强制目标应用渲染内容：恶意应用可以调用安卓系统的API，强制目标应用（如谷歌身份验证器）在屏幕上渲染疏敏感信息。这一过程使得信息对攻击者。

3. 获取屏幕信息：通过在目标信息的上方进行特定的图形操作，攻击者能够通过测量渲染每个像素所需时间的微小差异，推断出该像素的颜色。通过重复这一过程，攻击者最终能够重构屏幕上的信息。

攻击效能分析

通过研究发现，这种类型的攻击在不同型号的Pixel手机上，平均可以在14至26秒内完成6位数验证码的恢复，且能赶在验证码30秒的有效期之内完成。在三星Galaxy S25设备上，因存在较大信号噪音，目前尚未实现30秒内完成验证的能力。攻击者在窃取具有时效性的数据时，攻击速度显得尤为重要。

研究表明，任何在手机屏幕上的信息，包括文本、图像等，都可能成为攻击的目标，这加大了用户信息泄露的风险。这一流行的安卓设备所面临的安全威胁引发了广泛的关注。

防护措施与未来展望

在获悉这一漏洞（CVE-2025-48561）后，谷歌立即采取了行动。根据谷歌的安全公告，部分缓解措施已在9月发布，并计划在12月的安全更新中推送额外的补丁。不过，谷歌也明确指出，目前并未发现任何利用该漏洞进行实地攻击的案例。

尽管谷歌初步的补救措施能够降低一定的风险，但对于广大安卓用户提升警惕性和加强安全意识仍然是保护个人信息的有效手段。用户应定期更新其设备的软件，避免下载不明来源的应用程序，随时关注手机所需权限，拒绝任何非必要的权限请求。

“Pixnapping”攻击的出现，向安卓用户发出了警示。随着数字安全威胁的日益增加，制定适应性强的安全防护措施显得尤为紧迫。同时，设备制造商、开发者和用户间的合作也是未来保障信息安全的关键。唯有认真提升在信息安全方面的警惕性，才能最大限度地减少潜在风险，保障个人隐私和数据的安全。

在这个信息化迅速发展的时代，我们必须时刻保持警惕，加强数字意识，才能有效抵御各种网络攻击，在确保信息安全的同时，安心享受科技带来的便利。