一个新发现的Android漏洞使恶意应用能够访问其他应用显示的内容,可能危及加密钱包恢复短语、双重身份验证(2FA)代码等。
根据最近的一篇研究论文,"像素劫持"(Pixnapping)攻击"绕过了所有浏览器缓解措施,甚至可以从非浏览器应用中窃取机密信息"。这是通过利用Android应用程序编程接口(API)来计算不同应用显示的特定像素内容来实现的。
这并不像恶意应用请求并访问另一个应用的显示内容那么简单。相反,它会叠加一系列攻击者控制的半透明活动来掩盖除选定像素外的所有内容,然后操纵该像素使其颜色主导帧。
通过重复这个过程并计时帧渲染,恶意软件推断这些像素以重构屏幕上的机密信息。幸运的是,这需要时间,限制了攻击对显示时间不超过几秒钟的内容的有用性。
助记词面临危险
一种在屏幕上停留时间远超几秒钟的特别敏感信息是加密钱包恢复短语。这些短语允许对连接的加密钱包进行完全、不受限制的访问,需要用户将其写下来妥善保管。该论文在Google Pixel设备上测试了对2FA代码的攻击:
"我们的攻击在Pixel 6、7、8和9上分别以73%、53%、29%和53%的成功率正确恢复完整的6位2FA代码。Pixel 6、Pixel 7、Pixel 8和Pixel 9恢复每个2FA代码的平均时间分别为14.3、25.8、24.9和25.3秒。"
虽然完整的12个单词恢复短语需要更长时间才能捕获,但如果用户在写下短语时让其保持可见,攻击仍然可行。
谷歌的回应
该漏洞在运行Android 13至16版本的五台设备上进行了测试:Google Pixel 6、Google Pixel 7、Google Pixel 8、Google Pixel 9和Samsung Galaxy S25。研究人员表示,由于被利用的API广泛可用,同样的攻击可能在其他Android设备上有效。
谷歌最初试图通过限制应用一次可以模糊的活动数量来修补该漏洞。然而,研究人员表示他们找到了一个变通方法,仍然使像素劫持能够运行。
"截至10月13日,我们仍在与谷歌和三星就披露时间表和缓解措施进行协调。"
根据论文,谷歌将该问题评为高严重性,并承诺向研究人员颁发漏洞赏金。该团队还联系了三星,警告"谷歌的补丁不足以保护三星设备"。
硬件钱包提供安全保护
解决这个问题最明显的方法是避免在Android设备上显示恢复短语或任何其他特别敏感的内容。更好的做法是避免在任何具有互联网功能的设备上显示恢复信息。
实现这一目标的简单解决方案是使用硬件钱包。硬件钱包是一个专用的密钥管理设备,在计算机或智能手机外部签署交易,而不会暴露私钥或恢复短语。正如威胁研究员Vladimir S在关于该主题的X帖子中所说:
"简单地说,不要用你的手机来保护你的加密货币。使用硬件钱包!"