研究人员发现了一个影响Android系统的新漏洞，允许恶意应用重现屏幕内容，例如恢复短语和双重验证（2FA）代码，从而窃取用户的敏感信息。

一种新发现的Android漏洞使恶意应用能够读取其他应用显示的内容，这潜在威胁加密钱包的恢复短语、双重验证（2FA）代码等关键敏感信息。根据最新研究论文介绍，"像素劫持"（Pixnapping）攻击已经绕过了所有主流浏览器的缓解措施，甚至可以从非浏览器应用中窃取机密数据。这一攻击方式利用Android应用接口（API）计算不同应用屏幕显示的特定像素点，从而实现信息采集。

实际上，这并非直接请求访问其他应用的显示内容那么简单。攻击者会通过叠加半透明的控制层覆盖在目标应用之上，隐藏除目标像素之外的所有区域，然后操控像素颜色，使其在帧中占主导地位。重复多次并同步计时每一帧的刷新，攻击者可以逐步推断像素所呈现的具体内容，从而重建屏幕上的机密信息。

不过，这个攻击存在时间限制，因为它需要一定时间才能收集到足够信息。一般情况下，目标内容如果在短时间内（几秒内）被隐藏或不持续显示，攻击的效果就会大打折扣。

助记词成为攻击目标

特别敏感的信息如加密钱包的恢复短语--这些信息需要用户在首次设置时抄写下来，并妥善保管，避免泄露。研究显示，在特定的Android设备上，攻击者在屏幕上等待超过几秒，便能成功捕获到显示的恢复短语。研究还在Google Pixel系列设备上测试了对双重验证（2FA）代码的攻击：

"在Pixel 6、7、8 和9上，我们的攻击成功恢复完整6位数2FA代码的比例为73%、53%、29%和53%。平均恢复时间为14.3秒（Pixel 6）到25.8秒（Pixel 7）不等。”

虽然完整的12个单词助记词需要更久时间才能完整捕获，但如果用户在写下助记词时让其屏幕内容保持可见，攻击仍然可能成功。

谷歌的应对

此次漏洞在运行Android 13至16版本的五款设备上进行了测试，包括Google Pixel 6、Google Pixel 7、Google Pixel 8、Google Pixel 9以及Samsung Galaxy S25。研究人员指出，由于攻击所利用的API在安卓系统中较为普遍，这类攻击可能在其他安卓设备上也适用。

谷歌最初试图通过限制每次应用可以模糊(叠加)的活动数量来修复漏洞。然而，研究人员证明他们找到了解决方案的变通方法，仍能实现像素劫持攻击。

"截至10月13日，我们仍在与谷歌和三星方面沟通，协调披露时间和缓解措施。”

据论文披露，谷歌将此问题评为高严重性，并承诺提供漏洞赏金激励。团队也已通知三星，警告“谷歌的补丁不足以全面保护三星设备”。

硬件钱包：安全的解决方案

最有效的应对措施是避免在Android设备上显示任何敏感信息，特别是恢复短语或其他高风险数据。更佳的做法是，避免在任何联网设备上展示这类信息。

使用硬件钱包是推荐的解决方案。硬件钱包作为专用的密钥管理设备，能在设备外安全存储私钥并在执行交易时签名，避免敏感信息在联网设备上暴露。正如威胁研究员Vladimir S在某个X（前Twitter）帖子中强调：“不要用你的手机保护加密货币，使用硬件钱包才更安全！”

相关推荐：Monad联合创始人在空投前通过官方频道提示警惕Telegram广告中的诈骗行为