研究人员揭露名为Pixnapping的Android新型侧通道攻击

研究人员揭露名为Pixnapping的Android新型侧通道攻击，攻击者只要诱使用户安装普通应用程序，即可在不申请任何Android权限的情况下，暗中读取其他应用程序与网站画面上可见的内容，包括Gmail邮件部分内容、Signal消息、Google Maps地点记录与Google Authenticator的一次性验证码。

该漏洞编号为CVE-2025-48561，研究人员已在Google与三星设备上完成验证。Google九月发布修补后，团队又找到绕过方法，Google表示将于十二月再次发布追加修补。

研究人员说明，Pixnapping结合Android界面与GPU图形数据压缩侧通道GPU.zip。恶意应用通过Android系统中的Intent机制，让目标活动画面进入渲染流程，前景叠加半透明活动窗口，对指定微小区域施加窗口模糊，并通过VSync回调测量每帧时间。由于GPU的无损压缩具有数据依赖特性，当画面像素排列高度规则或变化复杂时，每一帧渲染时间会出现明显差异。重复测量即可判断单个像素的颜色，逐点扫描重建画面，再通过OCR还原内容。

研究人员指出Google Authenticator是高价值目标，因为画面中验证码位置可预测，实验可在30秒内窃取一次性验证码。在Pixel系列设备，恢复验证码的成功率介于29%与73%之间，但在三星Galaxy S25因噪声明显，研究人员无法在30秒有效时间内恢复完整验证码。

受影响范围方面，团队已在Android 13至16版本上验证攻击，涵盖Pixel 6、7、8、9与Galaxy S25，并推测其他品牌设备多半具备相同条件。攻击无需任何权限，仅凭普通应用即可触发。

Google在9月2日将相关修补纳入Android安全公告，但研究人员9月4日即发现可重启攻击的绕过方法，并于9月8日再次通报，Google将追加12月更新。Google并表示目前未见野外利用，也未在Google Play发现滥用这项技术的恶意程序。

安全建议方面，研究人员给一般用户的建议是第一时间安装系统更新。对应用程序开发者，目前尚无已知能完全阻断Pixnapping的应用层缓解措施，且因其核心依赖操作系统与GPU侧通道的交互作用，仍需平台与硬件层面共同加强。