HackerNews 编译，转载请注明出处：

Pixnapping漏洞

研究发现，谷歌和三星的安卓设备容易受到一种侧信道攻击，该攻击可被利用来在用户不知情的情况下，逐像素地秘密窃取双因素认证（2FA）码、谷歌地图时间线和其他敏感数据。

这项攻击被加州大学伯克利分校、华盛顿大学、加州大学圣地亚哥分校和卡内基梅隆大学的一组学者命名为 “Pixnapping”。

从本质上讲，“像素窃取” 是一种针对安卓设备的像素窃取框架，它通过利用安卓应用程序接口（API）和硬件侧信道，绕过浏览器的缓解措施，甚至可以从谷歌身份验证器等非浏览器应用中抽取数据，使得恶意应用能够利用该技术在 30 秒内获取 2FA 码。

研究人员在一篇论文中表示：“我们的关键发现是，安卓 API 使攻击者能够在浏览器之外创建一种类似于（保罗）斯通式攻击的方式。具体来说，恶意应用可以通过安卓意图（intents）将受害者的像素强制送入渲染管道，并使用一堆半透明的安卓活动对这些受害者像素进行计算。”

这项研究特别针对运行安卓版本 13 到 16 的谷歌和三星的五款设备。虽然目前尚不清楚其他原始设备制造商（OEM）的安卓设备是否容易受到 “像素窃取” 攻击，但实施该攻击所需的基本方法在所有运行该移动操作系统的设备上都存在。

这种新型攻击的重要之处在于，任何安卓应用都可以用来执行它，即使该应用在其清单文件中没有附加任何特殊权限。然而，这种攻击的前提是受害者被其他方式说服安装并启动了该应用。

使 “像素窃取” 成为可能的侧信道是 GPU.zip，这是由一些相同的研究人员在 2023 年 9 月披露的。该攻击本质上是利用现代集成 GPU（iGPU）中的压缩功能，通过 SVG 滤镜在浏览器中执行跨源像素窃取攻击。

...