Google 正在處理一個漏洞,該漏洞能夠從被認為相對安全的應用程式中竊取數據,例如 Authenticator 或 Signal,這個新技術被稱為「Pixnapping」。這一漏洞在多款 Google Pixel 設備和 Samsung Galaxy 設備上均已被證實存在。
根據《The Register》的報導,Google 已經注意到並針對近期出現的漏洞推出了部分修復。這一安全缺陷使惡意行為者能夠利用 Android 系統中的幾個弱點。
Android Intent 系統允許應用程式之間進行通信,惡意應用程式利用該系統請求敏感信息以進行渲染。目標應用的渲染結果隨後被用來提取敏感像素,這些像素可以與透明螢幕重疊,對用戶來說是不可見的。惡意應用所獲得的信息可以通過側信道獲得,例如 GPU.zip,這是另一個允許竊取 GPU 渲染視覺效果的漏洞。
負責 Pixnapping 研究的團隊由七名研究人員組成,他們成功在多款 Google Pixel 手機上觸發了該漏洞,包括 Pixel 9、Pixel 8 和 Pixel 7。該團隊還在 Samsung Galaxy S25 上成功觸發了該事件。
這項研究的成果已於 2025 年 2 月提交給 Google。自那以後,Google 已經發布了一個修補程式,並在 9 月的安全更新中推出了該修補程式。這無疑是一個好消息,表明 Google 將此威脅視為高優先級。
不過,研究團隊表示仍有更多的工作要做。
Google 收到了一個針對最近安全修補程式的變通方法通知,該方法能夠觸發 CVE-2025-48561 漏洞。這一變通方法目前尚未由 Google 或研究團隊披露,因為目前的安全更新並未解決此問題。
Google 隨後表示,將在即將到來的 12 月安全更新中發佈針對該漏洞的額外修補程式。該公司還指出,目前尚未發現任何「在野外」的實例。
