Android漏洞威胁加密安全

cosino

币界网报道：Android 系统中新发现的一个漏洞对敏感信息的安全构成了重大威胁，包括加密钱包恢复短语和双因素身份验证 （2FA） 代码。这种名为“Pixnapping”的攻击利用 Android 应用程序编程接口 （API） 访问其他应用程序显示的内容，绕过浏览器缓解措施，并可能危及非浏览器应用程序。此方法涉及操纵攻击者控制的半透明覆盖层中特定像素的颜色，从而使恶意软件能够推断并重建屏幕上的机密信息。 该研究重点介绍了该漏洞对加密钱包恢复短语的影响，而恢复短语对于访问连接的钱包至关重要。这些短语在屏幕上的可见时间通常比其他敏感信息更长，因此容易受到 Pixnapping 攻击。在 Google Pixel 设备上进行的测试显示，恢复双因素身份验证 （2FA） 代码的成功率各不相同，但该攻击在相当一部分测试中被证明是有效的。尽管捕获完整的恢复短语需要更长的时间，但如果用户在录制时让短语保持可见状态，风险仍然存在。 谷歌针对该漏洞的响应措施包括尝试通过限制应用同时模糊的活动数量来修补漏洞。然而，研究人员发现了一种允许 Pixnapping 继续运行的变通方法。截至 10 月 13 日，谷歌和三星正在就披露时间表和缓解措施进行协调。谷歌已将该问题列为高危漏洞，并计划向研究人员提供漏洞赏金。三星已收到警告，谷歌的初始补丁可能无法充分保护其设备。 为了降低风险，专家建议避免在 Android 设备上显示恢复短语或敏感信息。更安全的方法是使用硬件钱包。这些设备在外部管理密钥，无需将私钥或恢复短语暴露给联网设备。这些专用设备独立签署交易，从而增强了对此类漏洞的防护。正如威胁研究员 Vladimir S 所强调的