Android 系統爆重大漏洞「Pixnapping」　恐導致加密貨幣助記詞與驗證碼外洩

根據資安研究團隊近期公開的研究論文指出，Google Android 作業系統中，發現一項新的重大漏洞，可能遭駭客用來竊取加密貨幣錢包的「助記詞」以及「雙重驗證碼」等敏感資訊。這項新型攻擊技術被命名為「Pixnapping」，與傳統手法不同，攻擊者可透過畫面上單一像素的顏色變化，來重建並還原應用程式顯示的機密內容。

根據論文內容，這項「Pixnapping」技術不僅影響網頁瀏覽器，還可能擴散到加密錢包等非瀏覽器應用中。駭客會利用 Android 系統中的應用程式介面（API）漏洞，操控多層「半透明 UI 視窗」，只讓特定像素區域可見，並透過反覆變換顏色與分析影像渲染時機，逐步還原使用者當前螢幕上的機密資訊。

此方法雖然技術門檻高、耗時長，但對於像「助記詞」與「雙重驗證碼」這類通常會長時間停留在畫面上的資訊，攻擊成功率大幅提升。評論：這說明即使使用者沒有明顯疏忽操作，只要停留時間過長也可能造成資料外洩風險。

此外，此攻擊形式已成功繞過 Android 系統設計上應用程式間無法共享畫面內容的限制，顯示出當前的防護機制難以有效對抗類似的新型攻擊。資安專家建議用戶應提升自我保安意識，包括僅在必要時短暫顯示敏感資訊、避免安裝來自非官方平台的應用程式，以減少資安風險。

來源：The Register，於 24 日（當地時間）報導。