IT 之家 10 月 14 日消息，科技媒体 Ars Technica 今天（10 月 14 日）发布博文，披露了 "Pixnapping" 的安卓新型攻击，在谷歌 Pixel 9 等手机上演示成功，可在 30 秒内窃取验证码，成功率最高可达 73%。

这项研究由加州大学伯克利分校的 Alan Wang 等多人研究推进，于 10 月 13~17 日举办的第 32 届 ACM 计算机与通信安全会议上发布。

"Pixnapping" 攻击只需要诱导用户安装一个恶意应用，该应用无需申请任何系统权限，即可秘密读取设备屏幕上其他任何应用显示的敏感信息，包括双因素认证（2FA）验证码、聊天记录、电子邮件及位置时间线等。

该攻击已在谷歌 Pixel 6、7、8、9 以及三星 Galaxy S25 手机上成功演示，理论上经过调整后也可攻击其他安卓机型。

IT 之家援引博文介绍，"Pixnapping" 的攻击原理与 2023 年发现的 GPU.zip 攻击类似，均利用了 GPU 渲染数据时产生的侧信道漏洞。攻击分三步进行：

首先，恶意应用调用安卓系统接口，强制目标应用（如谷歌身份验证器）将敏感信息渲染到屏幕上；

然后，它在目标内容上方执行特定的图形操作，通过测量渲染每个像素所需时间的微小差异，来推断该像素的颜色；

最后，通过逐个像素地重复此过程，攻击者就能重建屏幕上的图像或文字，实现信息的窃取。

在窃取 2FA 验证码这类有时效性的数据时，攻击速度至关重要。研究显示，该攻击在不同型号的 Pixel 手机上，平均可在 14 至 26 秒内恢复完整的 6 位验证码，完全赶在 30 秒的有效期内，成功率在 29% 至 73% 之间。

不过，由于存在显著的信号噪音，该攻击目前在三星 Galaxy S25 设备上尚无法在 30 秒内完成。研究人员指出，任何在屏幕上可见的信息都面临被窃取的风险。

针对该漏洞（CVE-2025-48561），谷歌方面表示，已在 9 月的安卓安全公告中发布了部分缓解措施，并计划在 12 月的安全更新中推出额外补丁。谷歌同时强调，目前尚未发现任何利用该漏洞的野外攻击实例。