Android用家高危！名為「Pixnapping」的Android新型旁路攻擊方式，能夠在不到30秒的時間內竊取敏感螢幕數據，其利用了Android的核心API和圖形處理單元（GPU）中的硬件漏洞，幾乎影響所有現代Android手機，且無需特殊權限。在2025年ACM電腦與通訊安全會議上，研究人員展示了這種攻擊的可怕威力，表示中招者所有私隱都會被看光！

攻擊原理：偷偷在你手機上「截圖」

Pixnapping攻擊的運作方式可以簡單理解為：當你安裝了一個看似正常的應用程式後，它會在背後偷偷打開你的Google Authenticator或其他應用，然後在你的螢幕上加一層幾乎看不見的透明視窗。這個透明視窗會逐點分析螢幕上每個像素的顏色，就像用放大鏡一點一點地「讀取」你的螢幕內容，最後把驗證碼重組出來。整個過程完全在背景進行，一步步在用戶察覺不到的情況下偷取所有重要的情報、偷取你輸入的密碼及其他重要資料。

高危程度：30秒內破解你的驗證碼

最可怕的是，黑客專門針對雙重驗證碼進行了優化。由於驗證碼通常使用固定字體，而且位置固定，黑客只需要識別每個數字的幾個關鍵位置，就能在驗證碼過期前（通常是30秒）完整還原出6位數字。換句話說，你以為安全的雙重驗證，可能在半分鐘內就被破解。

影響範圍超乎想像｜Signal私密訊息都照偷

Pixnapping攻擊的影響範圍不僅限於驗證碼，還能竊取Signal的私密訊息、Google Maps的位置記錄，以及Venmo的交易詳情。研究顯示，Google Play上近10萬款應用程式都可能成為攻擊目標，而99.3%的熱門網站也面臨風險，影響範圍遠超以往任何攻擊手法。

廠商回應與修補進度

Google已將該漏洞定性為高危（CVE-2025-48561），並於2025年9月為Pixel設備發布了補丁，三星則認為該漏洞的實現複雜性較高，將其定性為低危。不過即使Google已經推出修補程式，由於漏洞的複雜性，仍需要平台與硬件層面的進一步加強。

面對新型攻擊｜3步防護措施保護自己

第1步｜立即更新手機系統。當手機提示有系統更新時，請盡快安裝，因為更新通常包含安全修補。

第2步｜只從Google Play下載應用程式，避免安裝來路不明的APK檔案。即使在Google Play下載，也要留意應用程式的評分、下載次數和用戶評價。

第3步｜定期檢查手機上安裝的應用程式，刪除不常用或來源可疑的程式。如果發現有不認識的應用程式，應立即移除。