Pixnapping是一种新型Android攻击方式，恶意应用可利用系统API和硬件侧信道窃取其他应用或网页显示的敏感信息。该攻击影响几乎所有现代安卓设备，已成功窃取Gmail、Google验证器等应用数据，甚至能在30秒内盗取双重验证码而不被用户察觉。相关研究将在2025年ACM计算机与通信安全会议上发表。

新型安卓攻击"像素劫持"曝光：可窃取2FA验证码等敏感信息

攻击概述
"像素劫持"（Pixnapping）是一种新型安卓系统攻击技术，恶意应用可通过安卓API和硬件侧信道（GPU.zip漏洞）窃取其他应用或网页上显示的任何可视信息。该攻击已在谷歌Pixel 6-9及三星Galaxy S25等多款设备上验证成功，能窃取Gmail、Google账户、Signal、Google身份验证器（30秒内盗取2FA验证码）、Venmo等应用中的敏感数据。

技术细节
攻击分为三步：
1. 诱导目标应用渲染敏感信息（如调用身份验证器生成2FA码）
2. 通过半透明活动窗口和窗口模糊API对目标像素进行图形操作
3. 利用GPU.zip侧信道逐像素窃取数据，最终通过OCR还原完整内容

影响范围
- 涉及安卓13至16版本
- 恶意应用无需任何权限即可实施攻击
- 仅能窃取屏幕可见信息（如短信、邮件内容），无法获取未显示的存储数据

防御措施
- 用户：及时安装安卓安全补丁
- 开发者：目前尚无有效防护方案

研究背景
该研究由加州大学伯克利分校、华盛顿大学等机构的多位学者合作完成，相关论文已入选2025年ACM计算机与通信安全会议（CCS 2025）。谷歌虽尝试通过限制模糊API进行修复，但研究者已发现绕过方法，完整补丁预计将在12月安全公告中发布。

（注：文中涉及的漏洞编号为CVE-2025-48561，研究团队表示将在补丁发布后开源攻击代码）

以下是评论内容的总结：

1. 对技术有效性的质疑
   有评论认为该技术虽非全新，但对特定攻击有效。不过也有人指出，若攻击者能安装恶意应用，可直接通过应用获取信息，无需如此复杂。

   • "it's effective for most super targeted attacks"
   • "you might as well just work off the Android app you've already gotten delivered"

2. 用户隐私意识的担忧
   评论提到用户可能轻易接受侵犯隐私的条款，暗示隐私保护的脆弱性。

   • "Throw a privacy notice... You'd be amazed how many people will accept it"

3. 现代设备复杂性与安全性
   有观点认为现代设备因功能过多而难以完全安全，未来可能需要更精简、安全的系统。

   • "Modern devices are simply too complex to be completely secure"
   • "there will be a market for a small, bare bones secure OS"

4. 对社交媒体的猜测
   评论质疑社交媒体巨头可能利用类似技术获取用户信息进行精准广告投放。

   • "wonder if the social media giants use attacks like these to gain certain info"
   • "Meta's ability to track/influence emotional state by behaviour is that good"

5. 其他观察
   包括对论文注册独立域名的罕见性评论，以及对技术源码发布的关注。

   • "a whole domain name registered, for a paper on a single CVE"
   • "release the source code at this link once patches become available"