快科技 10 月 15 日消息，在 2025 年 ACM 计算机与通信安全会议上，研究人员展示了一种名为 "Pixnapping" 的新型旁路攻击方式。

这种攻击针对 Android 设备，能够在不到 30 秒的时间内窃取敏感屏幕数据，其利用了 Android 的核心 API 和图形处理单元（GPU）中的硬件漏洞，几乎影响所有现代 Android 手机，且无需特殊权限。

这种攻击利用了 Android 的 Intent 系统，该系统允许应用程序无缝启动其他应用，结合多层半透明活动覆盖目标屏幕。

恶意应用通过发送 Intent 打开目标应用（如 Google Authenticator），然后使用遮罩技术叠加几乎不可见的窗口，以隔离特定像素。

这些覆盖层通过 Android 的合成引擎 SurfaceFlinger 应用模糊效果，由于 GPU 数据压缩（称为 "GPU.zip"）的特性，不同颜色的像素会导致渲染时间的差异。

研究人员针对短暂数据（如 2FA 代码）优化了该技术，采用类似光学字符识别（OCR）的探测方法，仅需定位 Google Sans 字体中每个数字的四个关键像素，即可在验证码失效前完成重构。

而且 Pixnapping 攻击的影响范围不仅限于 2FA 代码，还能绕过 Signal 的屏幕安全防护窃取私密消息，获取 Google Maps 中的位置历史记录以及 Venmo 中的交易详情。

对 Google Play 中 96783 款应用进行的调查显示，所有应用至少有一个可被 intent 调用的导出活动；而网络分析显示，Pixnapping 攻击使 99.3% 的顶级网站面临风险，远远超过过时的基于 iframe 的攻击。

Google 已将该漏洞定性为高危（CVE-2025-48561），并于 2025 年 9 月为 Pixel 设备发布了补丁，三星则认为该漏洞的实现复杂性较高，将其定性为低危。

为了缓解这种攻击，专家建议通过应用白名单限制透明覆盖层，并监控异常应用行为，用户还应及时更新设备，并仔细检查应用安装。