自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
20.00% 80.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

《安卓"Pixnapping"攻击或致加密钱包助记词泄露》

2025-10-14 22:29:12
收藏

新发现的安卓漏洞可能危及加密钱包助记词和2FA验证码

最新研究发现,安卓系统存在一个名为"Pixnapping"的新型漏洞,恶意应用可通过该漏洞窃取其他应用程序显示的内容,包括加密货币钱包的助记词、双重验证(2FA)代码等重要信息。


漏洞运作原理

研究报告指出,这种攻击方式"能够绕过所有浏览器防护措施,甚至可以从非浏览器应用中窃取机密信息"。攻击者利用安卓应用程序接口(API),通过计算其他应用显示的特定像素内容来实现数据窃取。

该攻击并非简单请求获取其他应用的显示内容,而是通过堆叠多个由攻击者控制的半透明活动界面,仅保留目标像素点,再通过操纵该像素颜色来主导画面帧。通过重复这一过程并精确计时画面渲染,恶意软件最终能重构屏幕显示的机密信息。


高风险信息面临威胁

加密货币钱包的助记词是最容易受到攻击的高敏感信息之一,因为用户通常需要长时间将其显示在屏幕上进行抄写。研究团队在Google Pixel系列设备上对2FA验证码进行了攻击测试:

测试结果显示,在Pixel 6、7、8、9设备上,攻击能分别以73%、53%、29%和53%的成功率完整获取6位2FA验证码。平均获取时间分别为14.3秒、25.8秒、24.9秒和25.3秒。

虽然完整获取12个单词的助记词需要更长时间,但只要用户在抄写过程中保持助记词显示状态,这种攻击仍然具有可行性。


厂商应对措施

该漏洞已在运行安卓13至16系统的五款设备上测试验证,包括Google Pixel 6至9系列和三星Galaxy S25。研究人员表示,由于利用的API广泛存在,其他安卓设备同样面临风险。

Google最初尝试通过限制应用同时模糊处理的活动数量来修复漏洞,但研究人员发现仍存在规避方法。截至10月13日,研究团队仍在与Google和三星就漏洞披露时间表及修复方案进行协调。


安全防护建议

最直接的防护措施是避免在安卓设备上显示助记词等高敏感信息。更安全的做法是避免在任何联网设备上显示恢复信息。

使用硬件钱包是有效的解决方案。这类专用密钥管理设备能在计算机或智能手机外部签署交易,全程不暴露私钥或助记词。正如安全研究员Vladimir S在相关讨论中强调的:"切勿使用手机保护加密货币资产,请使用硬件钱包!"

免责声明:

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证,网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用,不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责,与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文
更多新闻