夜雨聆风
🚨安卓出大漏洞?聊天记录、验证码都可能被偷
最近国外安全团队披露了一个名为 「Pixnapping」 的安卓系统漏洞,让Google紧急修复。它能在不需要截图或录屏权限的情况下,偷偷“还原”你屏幕上显示的内容——包括聊天记录、短信验证码,甚至钱包里的种子短语!
研究者演示中,只需安装一个恶意App,就能在几十秒内读出别的应用画面里的文字,比如Authenticator里的6位验证码。这意味着,如果你装了来历不明的软件,哪怕没给它权限,也可能被“看光光”。
🔍 为什么这么严重?
这不是App自己泄露隐私,而是Android底层的渲染机制被利用。攻击者通过测量系统绘图的细微时间差,就能一点一点“拼出”屏幕像素内容,像是显微镜看手机一样。
Google已经发布安全补丁(9月更新包),但全球很多设备要等厂商推送,部分手机现在还没修好。
研究者演示中,只需安装一个恶意App,就能在几十秒内读出别的应用画面里的文字,比如Authenticator里的6位验证码。这意味着,如果你装了来历不明的软件,哪怕没给它权限,也可能被“看光光”。
🔍 为什么这么严重?
这不是App自己泄露隐私,而是Android底层的渲染机制被利用。攻击者通过测量系统绘图的细微时间差,就能一点一点“拼出”屏幕像素内容,像是显微镜看手机一样。
Google已经发布安全补丁(9月更新包),但全球很多设备要等厂商推送,部分手机现在还没修好。
🇨🇳 那中国用户要担心吗?
答案是:要警惕,但不用恐慌。
在中国,大多数人用的是小米、华为、OPPO、vivo等国产系统,这些虽然基于Android,但厂商会加固安全机制;不过如果系统还没更新到2025年9月安全补丁,理论上依旧可能被利用。
坏消息是,我们仍然大量使用短信验证码,而Pixnapping最擅长的就是偷屏幕上显示的验证码。
🧠 你能做的几个关键动作
1.马上更新系统。
打开「设置 → 关于手机 → Android安全补丁级别」,如果是9月5日或之后的版本,就安全多了。
2.不要乱装App。
尽量只用官方应用商店下载,别信QQ群、论坛、第三方APK。
3.隐藏通知内容。
设置里关闭短信、微信、支付宝等App的通知预览。
4.用更安全的登录方式。
开启App内置验证码、扫码登录或安全密钥验证,尽量少用短信验证码。
5.清理悬浮窗权限。
一些悬浮工具类App可能被利用,关闭不用的。
