一个新发现的Android漏洞使恶意应用能够访问其他应用显示的内容，可能危及加密钱包恢复短语、双重身份验证（2FA）代码等。

根据最近的一篇研究论文，"像素劫持"（Pixnapping）攻击"绕过了所有浏览器缓解措施，甚至可以从非浏览器应用中窃取机密信息"。这是通过利用Android应用程序编程接口（API）来计算不同应用显示的特定像素内容来实现的。

这并不像恶意应用请求并访问另一个应用的显示内容那么简单。相反，它会叠加一系列攻击者控制的半透明活动来掩盖除选定像素外的所有内容，然后操纵该像素使其颜色主导帧。

通过重复这个过程并计时帧渲染，恶意软件推断这些像素以重构屏幕上的机密信息。幸运的是，这需要时间，限制了攻击对显示时间不超过几秒钟的内容的有用性。

一种在屏幕上停留时间远超几秒钟的特别敏感信息是加密钱包恢复短语。这些短语允许对连接的加密钱包进行完全、不受限制的访问，需要用户将其写下来妥善保管。该论文在Google Pixel设备上测试了对2FA代码的攻击：

虽然完整的12个单词恢复短语需要更长时间才能捕获，但如果用户在写下短语时让其保持可见，攻击仍然可行。

该漏洞在运行Android 13至16版本的五台设备上进行了测试：Google Pixel 6、Google Pixel 7、Google Pixel 8、Google Pixel 9和Samsung Galaxy S25。研究人员表示，由于被利用的API广泛可用，同样的攻击可能在其他Android设备上有效。

谷歌最初试图通过限制应用一次可以模糊的活动数量来修补该漏洞。然而，研究人员表示他们找到了一个变通方法，仍然使像素劫持能够运行。

根据论文，谷歌将该问题评为高严重性，并承诺向研究人员颁发漏洞赏金。该团队还联系了三星，警告"谷歌的补丁不足以保护三星设备"。

解决这个问题最明显的方法是避免在Android设备上显示恢复短语或任何其他特别敏感的内容。更好的做法是避免在任何具有互联网功能的设备上显示恢复信息。

实现这一目标的简单解决方案是使用硬件钱包。硬件钱包是一个专用的密钥管理设备，在计算机或智能手机外部签署交易，而不会暴露私钥或恢复短语。正如威胁研究员Vladimir S在关于该主题的X帖子中所说：

相关推荐：Monad联合创始人在空投前于官方频道警告Telegram广告诈骗

原文: 《 “像素劫持”Android漏洞可能危及加密钱包助记词和2FA代码 》

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。