黑客通过无需权限的安卓新侧信道攻击可在30秒内窃取2FA码与私密信息

 安全研究团队提出并实测的新型攻击“Pixnapping”表明，攻击者只需诱导用户安装一款不需系统权限的恶意安卓应用，就能通过调用系统 activity/intent/task 等接口迫使目标应用把敏感内容渲染到屏幕，再利用屏幕渲染时间的侧信道逐像素判断颜色组合还原画面，从而窃取聊天记录、一次性2FA验证码、邮件等可见信息（但对从未显示在屏幕上的秘密密钥无效）；该方法与2023年被称为 GPU.zip 的显卡侧信道类似，关键在于测量每帧渲染耗时并据此重建像素。研究者在多款 Google Pixel 手机上对 Google Authenticator 的端到端测试显示，Pixel 6/7/8/9 的完整 6 位验证码恢复成功率分别为 73%/53%/29%/53%，平均耗时约为 14.3s/25.8s/24.9s/25.3s，攻击在 30 秒期限内可完成（在 Samsung Galaxy S25 上受噪声影响未能在 30 秒内稳定完成）；谷歌在 2025 年 9 月的 Android 安全公告中已发布针对 CVE-2025-48561 的部分缓解补丁，并计划在 2025 年 12 月推出后续修复，但研究团队表示经过调整的变体仍可能部分绕过更新。总体来看，Pixnapping 展示了“单一已安装应用无法访问其他应用数据”这一安全保证的局限性，尽管实现攻击在实际环境中存在技术挑战与可靠性问题，但仍提醒用户慎重安装来源不明应用并及时更新系统补丁，同时厂商需在渲染管线与应用隔离机制上加强防护。