一個新發現的Android漏洞使惡意應用能夠訪問其他應用顯示的內容,可能危及加密錢包恢復短語、雙重身份驗證(2FA)代碼等。
根據最近的一篇研究論文,"像素劫持"(Pixnapping)攻擊"繞過了所有瀏覽器緩解措施,甚至可以從非瀏覽器應用中竊取機密信息"。這是通過利用Android應用程式編程介面(API)來計算不同應用顯示的特定像素內容來實現的。
這並不像惡意應用請求並訪問另一個應用的顯示內容那麼簡單。相反,它會疊加一系列攻擊者控制的半透明活動來掩蓋除選定像素外的所有內容,然後操縱該像素使其顏色主導幀。
通過重複這個過程並計時幀渲染,惡意軟體推斷這些像素以重構螢幕上的機密信息。幸運的是,這需要時間,限制了攻擊對顯示時間不超過幾秒鐘的內容的有用性。
助記詞面臨危險
一種在螢幕上停留時間遠超幾秒鐘的特別敏感信息是加密錢包恢復短語。這些短語允許對連接的加密錢包進行完全、不受限制的訪問,需要用戶將其寫下來妥善保管。該論文在Google Pixel設備上測試了對2FA代碼的攻擊:
"我們的攻擊在Pixel 6、7、8和9上分別以73%、53%、29%和53%的成功率正確恢復完整的6位2FA代碼。Pixel 6、Pixel 7、Pixel 8和Pixel 9恢復每個2FA代碼的平均時間分別為14.3、25.8、24.9和25.3秒。"
雖然完整的12個單詞恢復短語需要更長時間才能捕獲,但如果用戶在寫下短語時讓其保持可見,攻擊仍然可行。
谷歌的回應
該漏洞在運行Android 13至16版本的五台設備上進行了測試:Google Pixel 6、Google Pixel 7、Google Pixel 8、Google Pixel 9和Samsung Galaxy S25。研究人員表示,由於被利用的API廣泛可用,同樣的攻擊可能在其他Android設備上有效。
谷歌最初試圖通過限制應用一次可以模糊的活動數量來修補該漏洞。然而,研究人員表示他們找到了一個變通方法,仍然使像素劫持能夠運行。
"截至10月13日,我們仍在與谷歌和三星就披露時間表和緩解措施進行協調。"
根據論文,谷歌將該問題評為高嚴重性,並承諾向研究人員頒發漏洞賞金。該團隊還聯繫了三星,警告"谷歌的補丁不足以保護三星設備"。
硬體錢包提供安全保護
解決這個問題最明顯的方法是避免在Android設備上顯示恢復短語或任何其他特別敏感的內容。更好的做法是避免在任何具有網路功能的設備上顯示恢復信息。
實現這一目標的簡單解決方案是使用硬體錢包。硬體錢包是一個專用的密鑰管理設備,在電腦或智慧型手機外部簽署交易,而不會暴露私鑰或恢復短語。正如威脅研究員Vladimir S在關於該主題的X帖子中所說:
"簡單地說,不要用你的手機來保護你的加密貨幣。使用硬體錢包!"