Android用家高危！名为“Pixnapping”的Android新型旁路攻击方式，能够在不到30秒的时间内窃取敏感萤幕数据，其利用了Android的核心API和图形处理单元（GPU）中的硬件漏洞，几乎影响所有现代Android手机，且无需特殊权限。在2025年ACM电脑与通讯安全会议上，研究人员展示了这种攻击的可怕威力，表示中招者所有私隐都会被看光！

攻击原理：偷偷在你手机上“截图”

Pixnapping攻击的运作方式可以简单理解为：当你安装了一个看似正常的应用程式后，它会在背后偷偷打开你的Google Authenticator或其他应用，然后在你的萤幕上加一层几乎看不见的透明视窗。这个透明视窗会逐点分析萤幕上每个像素的颜色，就像用放大镜一点一点地“读取”你的萤幕内容，最后把验证码重组出来。整个过程完全在背景进行，一步步在用户察觉不到的情况下偷取所有重要的情报、偷取你输入的密码及其他重要资料。

高危程度：30秒内破解你的验证码

最可怕的是，黑客专门针对双重验证码进行了优化。由于验证码通常使用固定字体，而且位置固定，黑客只需要识别每个数字的几个关键位置，就能在验证码过期前（通常是30秒）完整还原出6位数字。换句话说，你以为安全的双重验证，可能在半分钟内就被破解。

影响范围超乎想像｜Signal私密讯息都照偷

Pixnapping攻击的影响范围不仅限于验证码，还能窃取Signal的私密讯息、Google Maps的位置记录，以及Venmo的交易详情。研究显示，Google Play上近10万款应用程式都可能成为攻击目标，而99.3%的热门网站也面临风险，影响范围远超以往任何攻击手法。

厂商回应与修补进度

Google已将该漏洞定性为高危（CVE-2025-48561），并于2025年9月为Pixel设备发布了补丁，三星则认为该漏洞的实现复杂性较高，将其定性为低危。不过即使Google已经推出修补程式，由于漏洞的复杂性，仍需要平台与硬件层面的进一步加强。

面对新型攻击｜3步防护措施保护自己

第1步｜立即更新手机系统。当手机提示有系统更新时，请尽快安装，因为更新通常包含安全修补。

第2步｜只从Google Play下载应用程式，避免安装来路不明的APK档案。即使在Google Play下载，也要留意应用程式的评分、下载次数和用户评价。

第3步｜定期检查手机上安装的应用程式，删除不常用或来源可疑的程式。如果发现有不认识的应用程式，应立即移除。