駭客可從 Android 手機竊取雙重驗證代碼與私人訊息 (★ 100 分)
這篇報導指出,一種名為「Pixnapping」的新型攻擊方式讓惡意應用程式可以在不到 30 秒內竊取 Android 裝置上的雙重驗證 (2FA, Two-Factor Authentication) 代碼、聊天訊息與其他私密資料。研究團隊發現,這項攻擊不需要任何系統權限即可執行,透過利用 GPU (圖形處理器,Graphics Processing Unit) 的時間差側通道 (side channel),惡意應用程式能推測螢幕上個別像素的顏色,進而重建出畫面上顯示的資訊。Google Pixel 6 到 9 代、Samsung Galaxy S25 均被證實可能受到影響。Google 已在 2025 年 9 月安全公告中釋出修補,但研究人員表示經修正版仍可繞過防禦,預計需待 12 月安全更新再進一步修補漏洞。
Pixnapping 的運作方式大致分為三個步驟。首先,惡意應用程式透過 Android API (應用程式介面) 呼叫目標應用以顯示敏感畫面,例如驗證碼或訊息。接著,此惡意應用在目標畫面上方執行繪圖操作,一次判定像素顏色是白或非白,並分析渲染一個畫面所需的時間長短來推知像素內容。研究團隊透過這個方法,在 Pixel 系列手機上成功於 30 秒內重建六位數的驗證碼,成功率介於 29% 到 73% 之間。整體而言,這項研究揭露了 Android 在應用隔離上的潛在弱點,雖然實際利用條件苛刻、需要使用者先安裝惡意軟體,仍顯示即使未取得權限的應用也能以極細微的時間差竊取視覺資料。
Hacker News 上的討論集中在兩個焦點:其一是這個攻擊不需權限即可竊取畫面資訊,讓不少開發者對 Android 的安全機制感到震驚;其二是手機作業系統在安全與自由之間的取捨。部分留言指出,Android 一向以應用隔離著稱,這次事件顯示該模型的限制;但也有人認為若過度強化安全會犧牲使用者自由。例如有人以「鎚子與安全剪刀」做比喻,認為 iPhone 像是孩童安全剪刀,安全但受限;Android 則像是一般剪刀,雖有風險但功能完整。此外,也有技術性討論提到這其實是 GPU 渲染時間的側通道攻擊,原理與先前的 GPU.zip 類似,推測 iOS 或其他圖形架構理論上也可能受到同類問題。
不少留言提醒,一般使用者雖難直接遭受此攻擊,但預載應用或第三方廣告 SDK (軟體開發套件) 若被入侵,仍可能成為感染源。有人建議可使用工具「Universal Android Debloater」移除內建軟體,以降低風險;也有網友提到開啟 Google Authenticator 的「隱私保護畫面」功能,可增加解鎖驗證步驟來防堵此類竊取。另有留言批評安全研究報導常以誇張標題吸引關注,實際上這屬於實驗室階段的學術漏洞,而非已在野外被利用的攻擊。
整體來看,Pixnapping 展示了 GPU 層級的安全挑戰,提醒開發者在系統設計時應防範跨應用的側通道風險。社群普遍讚賞研究的創新性,但也指出其實用性受限。多數人認為這類攻擊雖「聰明又邪惡」(clever and evil),卻仍屬學術性研究成果;真正的價值是督促手機平台持續改善底層渲染隔離與時間精度控制,防止更多潛在的視覺資料洩漏。
👥 64 則討論、評論 💬
https://news.ycombinator.com/item?id=45574613