HackerNews 编译，转载请注明出处：

广泛使用的第三方安卓软件开发工具包EngageLab SDK中一处已修复的安全漏洞细节曝光，该漏洞可能使数百万加密货币钱包用户面临风险。

...

HackerNews 编译，转载请注明出处：

Pixnapping漏洞

研究发现，谷歌和三星的安卓设备容易受到一种侧信道攻击，该攻击可被利用来在用户不知情的情况下，逐像素地秘密窃取双因素认证（2FA）码、谷歌地图时间线和其他敏感数据。

这项攻击被加州大学伯克利分校、华盛顿大学、加州大学圣地亚哥分校和卡内基梅隆大学的一组学者命名为 “Pixnapping”。

从本质上讲，“像素窃取” 是一种针对安卓设备的像素窃取框架，它通过利用安卓应用程序接口（API）和硬件侧信道，绕过浏览器的缓解措施，甚至可以从谷歌身份验证器等非浏览器应用中抽取数据，使得恶意应用能够利用该技术在 30 秒内获取 2FA 码。

研究人员在一篇论文中表示：“我们的关键发现是，安卓 API 使攻击者能够在浏览器之外创建一种类似于（保罗）斯通式攻击的方式。具体来说，恶意应用可以通过安卓意图（intents）将受害者的像素强制送入渲染管道，并使用一堆半透明的安卓活动对这些受害者像素进行计算。”

这项研究特别针对运行安卓版本 13 到 16 的谷歌和三星的五款设备。虽然目前尚不清楚其他原始设备制造商（OEM）的安卓设备是否容易受到 “像素窃取” 攻击，但实施该攻击所需的基本方法在所有运行该移动操作系统的设备上都存在。

这种新型攻击的重要之处在于，任何安卓应用都可以用来执行它，即使该应用在其清单文件中没有附加任何特殊权限。然而，这种攻击的前提是受害者被其他方式说服安装并启动了该应用。

使 “像素窃取” 成为可能的侧信道是 GPU.zip，这是由一些相同的研究人员在 2023 年 9 月披露的。该攻击本质上是利用现代集成 GPU（iGPU）中的压缩功能，通过 SVG 滤镜在浏览器中执行跨源像素窃取攻击。

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

安卓Runtime（CVE-2025-48543）和Linux内核（CVE-2025-38352）中的提权漏洞已在针对性攻击中被利用。

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

近期一项研究显示，已root的设备遭移动恶意软件攻击的可能性超过普通设备的3.5倍，这凸显了它们给组织机构带来的风险。

...

HackerNews 编译，转载请注明出处：

谷歌正在为安卓系统开发一项新安全功能，该功能可在通话过程中阻止设备所有者更改敏感设置。

...

...