安卓「Pixnapping」漏洞暴露加密錢包助記詞

執行摘要

一項名為「Pixnapping」的新安卓漏洞已被識別，對加密錢包恢復短語和雙重認證（2FA）程式碼的安全構成重大風險。此漏洞使流氓應用程式能夠重建敏感的螢幕資訊，直接影響行動加密使用者。該漏洞影響各種安卓設備，包括谷歌Pixel和三星Galaxy型號，並且儘管谷歌已進行初步修補，但仍然存在。

事件詳情

研究人員發現了「Pixnapping」攻擊，該攻擊利用安卓應用程式程式設計介面（API）訪問並重建其他應用程式顯示的內容。這種方法涉及操縱攻擊者控制的半透明覆蓋層中特定像素的顏色，從而使惡意軟體能夠隨著時間推斷和重建螢幕上的秘密。這種技術規避了現有的瀏覽器緩解措施，並且可以損害非瀏覽器應用程式，使得加密錢包恢復短語和2FA程式碼等高度敏感資料容易受到攻擊。恢復短語由於在螢幕上長時間可見而特別容易受到影響。雖然谷歌實施了一個補丁來限制應用程式可以同時模糊的活動數量，但研究人員隨後發現了一個變通方案，表明該漏洞的持續存在。截至10月13日，谷歌和三星之間關於披露和緩解時間表的協調正在進行中，谷歌將此問題歸類為高嚴重性，並計劃發布漏洞賞金。

市場影響

「Pixnapping」漏洞的持續存在為行動加密使用者帶來了不確定和潛在的看跌情緒。安卓設備上的助記詞和2FA程式碼面臨的直接威脅可能導致使用者對設備上的加密交易更加謹慎。這種情況可能會加速尋求保護其數位資產的使用者採用更安全的儲存方法，特別是硬體錢包。對於更廣泛的Web3生態系統而言，這一事件強調了作業系統級別安全性的關鍵需求，可能推動安全行動環境的創新，並影響投資者對以行動為中心的加密解決方案的情緒。

專家評論

為了緩解「Pixnapping」帶來的風險，專家強烈建議使用者避免直接在安卓設備上顯示恢復短語或任何其他敏感資訊。威脅研究員Vladimir S強調了硬體錢包提供的卓越安全性。他表示，與依賴智慧型手機解決方案相比，使用硬體錢包是保護加密資產更安全的替代方案。

更廣泛的背景

硬體錢包透過將私鑰隔離在專用、與網際網路隔離的晶片中，顯著增強了加密安全性。與基於軟體的（熱）錢包不同，後者在線運行並容易受到惡意軟體或作業系統漏洞的影響，硬體錢包的每筆交易都需要物理認證。這種與連接設備的隔離意味著即使電腦或智慧型手機受到損害，私鑰仍然安全。物理確認機制，通常涉及板載按鈕和顯示屏，提供了防止未經授權訪問、網路釣魚嘗試和遠端攻擊的關鍵防禦層。這種方法確保了完全的自我保管和使用者控制，符合去中心化金融的核心原則，並為不斷變化的數位威脅提供了強大的保護。