‘Pixnapping’ Android攻擊可能暴露加密錢包的種子短語
研究人員發現了一個新的Android漏洞,該漏洞允許惡意應用程序重建屏幕上顯示的內容,例如恢復短語和雙因素身份驗證代碼。
根據最近的一篇研究論文,這種“Pixnapping”攻擊“繞過了所有瀏覽器的防護措施,甚至可以從非瀏覽器應用中竊取秘密”。這是通過利用Android應用程序編程接口(API)來計算其他應用程序顯示的特定像素的內容來實現的。
這並不是簡單地讓惡意應用請求並訪問另一個應用的顯示內容。相反,它會層疊一系列攻擊者控制的半透明活動,遮蔽除選定像素以外的所有內容,然後操控該像素,使其顏色主導整個畫面。
通過重複這一過程並計時幀渲染,惡意軟件推斷這些像素以重建屏幕上的秘密。幸運的是,這個過程需要時間,限制了該攻擊對於不超過幾秒鐘顯示內容的有效性。
種子短語面臨危險
一種特別敏感的信息是加密錢包的恢復短語。這些短語允許用戶完全、無限制地訪問連接的加密錢包,並要求用戶將其寫下以妥善保管。研究人員在Google Pixel設備上測試了該攻擊對雙因素身份驗證代碼的影響:
“我們的攻擊在Pixel 6、7、8和9的測試中,正確恢復了完整的6位數2FA代碼,分別為73%、53%、29%和53%。恢復每個2FA代碼的平均時間分別為14.3秒、25.8秒、24.9秒和25.3秒。”
雖然完整的12個單詞的恢復短語需要更長的時間來捕獲,但如果用戶在寫下短語時將其顯示在屏幕上,該攻擊仍然是可行的。
谷歌的回應
該漏洞在運行Android 13到16的五個設備上進行了測試:Google Pixel 6、Google Pixel 7、Google Pixel 8、Google Pixel 9和Samsung Galaxy S25。研究人員表示,由於被利用的API廣泛可用,其他Android設備也可能受到同樣的攻擊。
谷歌最初試圖通過限制應用程序可以模糊的活動數量來修補這一缺陷。然而,研究人員表示他們找到了一種繞過方法,仍然可以使Pixnapping功能正常運行。
“截至10月13日,我們仍在與谷歌和三星協調披露時間表和緩解措施。”
根據論文,谷歌將該問題評為高嚴重性,並承諾向研究人員頒發漏洞獎金。該團隊還聯繫了三星,警告“谷歌的修補措施不足以保護三星設備”。
硬件錢包提供安全保護
解決此問題的最明顯方法是避免在Android設備上顯示恢復短語或任何其他特別敏感的內容。更好的做法是避免在任何能連接到互聯網的設備上顯示恢復信息。
實現這一點的簡單解決方案是使用硬件錢包。硬件錢包是一種專用的密鑰管理設備,能夠在不暴露私鑰或恢復短語的情況下,外部簽署交易。正如威脅研究員Vladimir S在一篇X的帖子中所說:
“簡單來說,不要用手機來保護你的加密貨幣。使用硬件錢包!”
這篇文章揭示了當今數位安全環境中潛在的重大風險,尤其是對於加密貨幣用戶而言。隨著數字資產的價值不斷上升,這類攻擊的影響可能會更加深遠。用戶應該更加謹慎,並考慮使用更安全的存儲方式來保護自己的資產。這不僅僅是技術問題,更是對數位資產安全意識的提升。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
