# Pixnapping 攻击:无权限应用如何窃取安卓屏幕上的 2FA 令牌 > 深入解析 Pixnapping 攻击,一种利用安卓 API 和 GPU 硬件侧信道的新型威胁。它允许恶意应用在用户不知情的情况下,逐像素窃取屏幕上显示的任何信息,包括 2FA 验证码和敏感邮件。 ## 元数据 - 路径: /posts/2025/10/15/android-pixnapping-attack-steals-2fa-codes/ - 发布时间: 2025-10-15T14:33:09+08:00 - 分类: [ai-security](/categories/ai-security/) - 站点: https://blog.hotdry.top ## 正文 一种被命名为 “Pixnapping” 的新型高危安全漏洞(CVE-2025-48561)正在对安卓生态系统构成严峻挑战。该攻击允许一个看起来无害、无需任何安卓权限的恶意应用程序,悄无声息地窃取屏幕上由其他应用程序显示的任何敏感信息。研究人员已经证实,利用此方法可以在 30 秒内成功窃取 Google Authenticator 的一次性密码(2FA),从而彻底瓦解了基于时间同步的一次性密码(TOTP)认证体系的安全性。 这项由多所顶尖大学研究人员发现的攻击技术,其巧妙之处在于它绕过了安卓系统以权限为核心的传统安全沙箱模型。用户在安装恶意应用时,不会看到任何权限请求,因此很难产生警惕。然而,该应用却能像隔空取物一样,将 Signal 的聊天记录、Gmail 的邮件内容或是 Venmo 的交易详情逐一“复制”出来。这无疑是对当前移动应用安全边界的一次深刻颠覆。 ### Pixnapping 攻击的核心机制剖析 Pixnapping 攻击的实现并非依赖单一漏洞,而是将三个独立的技术环节巧妙地串联起来,形成一个完整的攻击链。这个过程如同一次精密的数字手术,在用户毫无察觉的情况下,逐个像素地还原出目标应用的屏幕内容。 1. **强制渲染目标应用 (Invoking the Target)**:攻击的第一步是诱导目标应用将其敏感信息绘制到屏幕上。恶意应用通过发送一个标准的安卓 Intent——这是安卓系统用于应用间通信和功能调用的常规机制——来启动目标应用,例如 Google Authenticator。这个操作会使目标应用的界面出现在前台并开始渲染其内容,包括我们希望保护的 2FA 验证码。 2. **像素级图形操纵 (Pixel-Level Manipulation)**:一旦目标内容被渲染,恶意应用会立即在其上层覆盖一个半透明的活动窗口。接着,它利用公开的 `window blur`(窗口模糊)API,对下方目标应用的特定像素位置执行图形处理操作。由于上层窗口是半透明的,模糊操作会实际作用于下层应用的像素上。这个步骤是攻击者能够“触及”到本应被隔离的像素的关键。 3. **通过硬件侧信道窃取信息 (Side-Channel Leakage)**:这是攻击链中最核心也最隐蔽的一环。当 GPU 对一个像素执行模糊操作时,其功耗和处理时间会因该像素的原始颜色而产生微小差异。Pixnapping 攻击利用了一个已知的硬件漏洞——`GPU.zip`,来精确测量这些差异。通过反复对同一像素位置进行操作并监测 GPU 的侧信道信号,攻击者可以推断出该像素的准确颜色值。将这个过程在屏幕上快速迭代,覆盖所有目标区域(如 6 位验证码的显示位置),攻击者就能逐个像素地完整重构出原始图像或文本。 整个过程可以被形象地比喻为:攻击者在用一种看不见的方式,对目标屏幕进行一次超高分辨率的“像素级扫描”,最终拼凑出一幅完整的、包含敏感信息的“截图”。 ### 实际危害:当 2FA 防线形同虚设 Pixnapping 最大的现实威胁在于其攻破了被广泛信赖的多因素认证(MFA)防线。研究表明,在 Google Pixel 和三星 Galaxy 等主流设备上,窃取 Google Authenticator 的 6 位数字验证码仅需不到 30 秒。这意味着,即使用户的密码被泄露,作为第二道防线的 2FA 令牌也可能同时被攻击者实时获取,使得账户安全岌岌可危。 除了 2FA 令牌,任何显示在屏幕上的信息都无法幸免。这包括: - **加密通讯内容**:Signal 或 Telegram 的私密对话。 - **金融与支付信息**:银行应用余额、交易记录或 Venmo 的支付详情。 - **个人身份与凭证**:邮件中的重置密码链接、个人信息页面等。 这种攻击的普适性使其危害范围远超特定应用,而是对整个安卓平台的视觉信息安全构成了系统性威胁。 ### 缓解困境:软件补丁与硬件根源的博弈 面对如此严重的漏洞,谷歌已经尝试通过发布软件补丁来加以限制。初步的修复方案是限制应用调用 `window blur` API 的频率和方式。然而,研究人员很快便发现了一种可以绕过该补丁的变通方法,使得攻击得以延续。谷歌已确认该绕过方法有效,并将此问题评级为“高危”,计划在未来的安卓安全公告中发布进一步的修复。 这一攻防博弈凸显了修复 Pixnapping 的根本性难题:其根源在于 `GPU.zip` 硬件侧信道漏洞,而并非单纯的软件 API 滥用。只要硬件层面的信息泄露渠道依然敞开,基于软件的封堵策略就可能不断被新的技巧绕过。截至目前,尚未有 GPU 供应商承诺通过硬件更新来修复 `GPU.zip` 漏洞,这意味着从根源上解决问题仍遥遥无期。 更令人担忧的是,研究团队还发现了另一个相关的“应用列表绕过”漏洞,允许恶意应用在无任何权限的情况下探测用户手机上安装了哪些应用,从而进行用户画像分析。谷歌对此漏洞给出的答复是“不会修复(不切实际)”,这进一步增加了恶意应用潜伏和发动精准攻击的风险。 ### 用户与开发者的应对之策 在硬件和操作系统层面的根本性修复到来之前,我们能做的非常有限,但仍需保持警惕。 **对于普通用户**: - **及时更新系统**:确保您的安卓设备及时安装所有安全补丁。针对 Pixnapping 的增强补丁预计将在 2025 年 12 月的安卓安全公告中发布。这是当前最有效的防御手段。 - **审慎安装应用**:即使应用不请求任何权限,也应坚持从官方和可信的渠道下载。警惕那些功能简单但来源不明的工具类应用。 **对于应用开发者**: 不幸的是,研究人员指出,目前尚无已知的、可靠的应用级缓解措施可以保护应用免受 Pixnapping 攻击。这是一个平台级的问题,需要由操作系统和硬件制造商来解决。 总而言之,Pixnapping 的出现为我们敲响了警钟。它揭示了在复杂的软硬件交互中,看似牢不可破的安全沙箱模型也可能存在致命的裂痕。当攻击从传统的权限滥用转向利用底层硬件的侧信道时,我们的防御体系必须随之演进。在此之前,保持系统更新将是保护我们数字生活的关键。 ## 同分类近期文章 ### [诊断 Gemini Antigravity 安全禁令并工程恢复:会话重置、上下文裁剪与 API 头旋转](/posts/2026/03/01/diagnosing-gemini-antigravity-bans-reinstatement/) - 日期: 2026-03-01T04:47:32+08:00 - 分类: [ai-security](/categories/ai-security/) - 摘要: 剖析 Antigravity 禁令触发机制,提供 session reset、context pruning 和 header rotation 等工程策略,确保可靠访问 Gemini 高级模型。 ### [Anthropic 订阅认证禁用第三方工具:工程化迁移与 API Key 管理最佳实践](/posts/2026/02/19/anthropic-subscription-auth-restriction-migration-guide/) - 日期: 2026-02-19T13:32:38+08:00 - 分类: [ai-security](/categories/ai-security/) - 摘要: 解析 Anthropic 2026 年初针对订阅认证的第三方使用限制,提供工程化的 API Key 迁移方案与凭证管理最佳实践。 ### [Copilot邮件摘要漏洞分析:LLM应用中的数据流隔离缺陷与防护机制](/posts/2026/02/18/copilot-email-dlp-bypass-vulnerability-analysis/) - 日期: 2026-02-18T22:16:53+08:00 - 分类: [ai-security](/categories/ai-security/) - 摘要: 深度剖析Microsoft 365 Copilot因代码缺陷导致机密邮件被错误摘要的事件,揭示LLM应用数据流隔离的工程化防护要点。 ### [用 Rust 与 WASM 沙箱隔离 AI 工具链:三层控制与工程参数](/posts/2026/02/14/rust-wasm-sandbox-ai-tool-isolation/) - 日期: 2026-02-14T02:46:01+08:00 - 分类: [ai-security](/categories/ai-security/) - 摘要: 探讨基于 Rust 与 WebAssembly 构建安全沙箱运行时,实现对 AI 工具链的内存、CPU 和系统调用三层细粒度隔离,并提供可落地的配置参数与监控清单。 ### [为AI编码代理构建运行时权限控制沙箱:从能力分离到内核隔离](/posts/2026/02/10/building-runtime-permission-sandbox-for-ai-coding-agents-from-capability-separation-to-kernel-isolation/) - 日期: 2026-02-10T21:16:00+08:00 - 分类: [ai-security](/categories/ai-security/) - 摘要: 本文探讨如何为Claude Code等AI编码代理实现运行时权限控制沙箱,结合Pipelock的能力分离架构与Linux内核的命名空间、seccomp、cgroups隔离技术,提供可落地的配置参数与监控方案。