安卓2FA验证码30秒被盗！Pixel 9、S25等手机面临新攻击风险

据10月14日Ars Technica科技媒体报道，安全研究人员发现名为“Pixnapping”的新型安卓攻击技术。该攻击能在谷歌Pixel 9等设备上实现30秒内盗取验证码，最高成功率可达73%。

这项由加州大学伯克利分校Alan Wang团队主导的研究，已在10月13日至17日举办的第32届ACM计算机与通信安全会议上正式公布。

“Pixnapping”攻击只需诱使用户安装恶意应用，该应用无需获取任何系统权限，就能秘密读取设备屏幕上其他应用显示的敏感内容，包括双重认证验证码、聊天记录、电子邮件和位置轨迹等信息。

研究人员已成功在谷歌Pixel 6至9系列以及三星Galaxy S25设备上演示该攻击。经技术调整后，理论上该攻击可适用于其他安卓机型。

研究指出，“Pixnapping”与2024年发现的GPU.zip攻击原理相似，均利用GPU渲染过程中产生的侧信道漏洞。攻击过程分为三个关键步骤：

首先，恶意应用通过调用安卓系统接口，强制目标应用（如谷歌身份验证器）将敏感信息渲染至屏幕；

随后，在目标内容上方执行特定图形操作，通过测量每个像素渲染时间的细微差异，推断出对应像素的颜色数值；

最后，通过逐像素重复这一过程，攻击者能够逐步重建屏幕上显示的图像或文字内容，实现信息窃取。

针对具有时效性的双因素认证验证码，攻击速度尤为关键。研究数据显示，该技术在不同Pixel机型上平均仅需14至26秒即可完整获取6位验证码，完全满足30秒有效期内的攻击需求，成功率介于29%至73%之间。

不过由于信号噪声影响，该攻击目前在三星Galaxy S25设备上还无法在30秒内完成。研究人员警告，任何在屏幕上可见的信息都存在被窃取的风险。

对于该漏洞（编号CVE-2025-48561），谷歌表示已在9月安卓安全公告中部署初步防护方案，并计划于12月安全更新中推出完整修复补丁。谷歌同时确认，目前尚未监测到任何利用此漏洞的实际攻击案例。