新型安卓漏洞曝光：加密錢包助記詞面臨威脅

發布日期：2025年10月15日 09:45 | 分類：加密貨幣分析

摘要：研究人員發現一個新的安卓漏洞，允許惡意應用程式重建螢幕上的內容，例如恢復短語和雙重身份驗證碼，對加密貨幣用戶構成嚴重威脅。此漏洞利用安卓API，繞過瀏覽器防護措施，甚至可以從非瀏覽器應用程式中竊取機密。

市場背景與現況

隨著加密貨幣的普及，越來越多的用戶選擇在移動設備上管理其數位資產。安卓作為全球使用最廣泛的移動操作系統，其安全性直接影響數百萬加密貨幣用戶的資金安全。近年來，針對移動平台的惡意軟體攻擊日益增多，加密貨幣錢包成為了黑客的主要目標。此類攻擊不僅會導致用戶資產損失，還會嚴重損害加密貨幣行業的聲譽。

核心分析

這個被稱為“Pixnapping”的攻擊方法，利用安卓應用程式介面（API）來計算另一個應用程式顯示的特定像素的內容。攻擊者通過疊加一系列受其控制的半透明活動，遮罩除選定像素之外的所有內容，然後操縱該像素，使其顏色在畫面中佔據主導地位。通過重複此過程並定時渲染畫面，惡意軟體可以推斷出這些像素以重建螢幕上的機密信息。雖然完整的 12 個單詞的恢復短語需要更長的時間才能捕獲，但如果用戶在寫下短語時使其保持可見，則攻擊仍然可行。研究人員在運行 Android 13 到 16 的五個設備上測試了該漏洞：Google Pixel 6、Google Pixel 7、Google Pixel 8、Google Pixel 9 和 Samsung Galaxy S25。研究人員表示，由於被利用的 API 廣泛可用，因此相同的攻擊也可能在其他 Android 設備上起作用。Google 最初試圖通過限制應用程式一次可以模糊的活動數量來修復該缺陷。然而，研究人員表示，他們找到了一種仍然可以讓 Pixnapping 發揮作用的解決方法。

風險與機會

此漏洞的主要風險在於，攻擊者可以利用其竊取加密貨幣錢包的恢復短語（recovery phrase）和雙重身份驗證（2FA）代碼。恢復短語是訪問加密貨幣錢包的最終鑰匙，一旦洩露，用戶將失去對其資產的完全控制權。雙重身份驗證代碼則用於驗證用戶身份，防止未經授權的訪問。此漏洞也提醒用戶，在行動裝置上顯示敏感資訊的潛在風險。然而，此事件也促使開發者和安全研究人員更加重視移動平台的安全性，並加強對惡意軟體的防禦能力。同時，硬體錢包（hardware wallet）的使用變得更加重要，因為它們可以將私鑰（private key）儲存在離線環境中，有效防止此類攻擊。

未來展望

隨著移動設備在加密貨幣領域的應用越來越廣泛，移動安全問題將變得更加突出。預計未來將出現更多針對移動平台的加密貨幣攻擊。因此，用戶需要提高安全意識，避免在不安全的環境下顯示敏感信息。同時，開發者需要加強應用程式的安全性，及時修復漏洞。此外，監管機構也需要制定更加完善的移動安全標準，保護用戶的權益。硬體錢包將在保護用戶數位資產方面發揮越來越重要的作用。

結論

新型安卓漏洞的曝光再次提醒我們，加密貨幣安全是一個持續的挑戰。用戶需要採取積極的防禦措施，例如使用硬體錢包、避免在不安全的環境下顯示敏感信息、及時更新操作系統和應用程式等。同時，開發者和安全研究人員需要加強合作，共同應對不斷變化的安全威脅，確保加密貨幣生態系統的安全穩定。

免責聲明：本文僅供參考，不構成投資建議。投資加密貨幣有風險，請謹慎決策。

文章來源:https://cointelegraph.com/news/pixnapping-android-attack-could-expose-crypto-wallet-seed-phrases