حمله Pixnapping در Android می‌تواند seed phrases کیف پول‌های crypto را افشا کند

By: crypto insight|2025/10/16 20:20:03

اشتراک‌گذاری

محققان یک آسیب‌پذیری جدید در Android کشف کرده‌اند که به اپلیکیشن‌های مخرب اجازه می‌دهد محتوای روی صفحه را بازسازی کنند، مانند recovery phrases و کدهای two-factor authentication. این تهدید می‌تواند امنیت کاربران crypto را به خطر بیندازد.

کشف آسیب‌پذیری Pixnapping در Android

تصور کنید که در حال نوشتن recovery phrase کیف پول crypto خود هستید و ناگهان یک اپلیکیشن مخرب تمام آن را بدون اینکه متوجه شوید، سرقت می‌کند. این سناریو حالا با کشف آسیب‌پذیری جدیدی به نام Pixnapping واقعی‌تر شده است. طبق تحقیقات اخیر که در تاریخ 2025-10-16 به‌روزرسانی شده، این حمله به اپلیکیشن‌های مخرب اجازه می‌دهد محتوای نمایش داده‌شده توسط اپ‌های دیگر را دسترسی پیدا کنند و اطلاعات حساس مانند seed phrases کیف پول‌های crypto یا کدهای 2FA را استخراج کنند.

این حمله با دور زدن تمام محافظت‌های مرورگر کار می‌کند و حتی می‌تواند اسرار اپ‌های غیرمرورگری را بدزدد. چطور؟ با استفاده از APIهای Android، اپ مخرب رنگ یک پیکسل خاص از اپ دیگر را محاسبه می‌کند. این کار ساده نیست؛ اپ مخرب لایه‌هایی نیمه‌شفاف روی صفحه می‌اندازد تا فقط پیکسل مورد نظر را ماسک کند و سپس با دستکاری رنگ آن، محتوای صفحه را بازسازی می‌کند. این فرآیند زمان‌بر است و برای محتوای کوتاه‌مدت مانند کدهای 2FA مفیدتر است، اما برای seed phrases که طولانی‌تر روی صفحه می‌مانند، همچنان تهدید جدی است.

برای مثال، تحقیقات روی دستگاه‌های Google Pixel نشان داد که بازسازی یک کد 2FA تنها چند ثانیه طول می‌کشد، در حالی که یک recovery phrase کامل 12 کلمه‌ای ممکن است بیشتر زمان ببرد، اما اگر کاربر آن را برای نوشتن نگه دارد، حمله موفق می‌شود. این شبیه به یک دزد نامرئی است که از پشت شیشه به یادداشت‌های شما نگاه می‌کند، اما در دنیای دیجیتال.

آزمایش Pixnapping روی دستگاه‌های مختلف

این آسیب‌پذیری روی نسخه‌های Android 13 تا 16 آزمایش شده، از جمله Google Pixel 6 تا Pixel 9 و Samsung Galaxy S25. محققان تأیید کرده‌اند که APIهای بهره‌برداری‌شده در اکثر دستگاه‌های Android در دسترس هستند، بنابراین تهدید گسترده است. طبق به‌روزرسانی‌های اخیر از منابع رسمی در 2025-10-16، گوگل این مسئله را با شدت بالا ارزیابی کرده و جایزه‌ای برای کشف آن اعطا می‌کند. با این حال، پچ اولیه گوگل که محدودیت تعداد فعالیت‌های بلوری را اعمال کرد، توسط محققان دور زده شد و حمله همچنان ممکن است.

در توییتر، بحث‌های داغی در مورد این vuln جریان دارد، مانند پستی از یک محقق امنیتی که می‌گوید: “Pixnapping می‌تواند بازی را برای امنیت crypto تغییر دهد – کاربران Android مراقب باشید!” همچنین، سؤالات پرجستجو در گوگل مانند “چگونه از seed phrases در Android محافظت کنیم؟” یا “بهترین hardware wallet برای 2025” نشان‌دهنده نگرانی کاربران است. آخرین به‌روزرسانی‌ها شامل هشدارهای رسمی از گوگل است که قول پچ‌های قوی‌تری برای Android 16 داده‌اند.

خطر برای seed phrases در crypto

یکی از حساس‌ترین اطلاعات، seed phrases هستند که دسترسی کامل به کیف پول‌های crypto می‌دهند. کاربران معمولاً آن‌ها را برای پشتیبان‌گیری یادداشت می‌کنند و این کار زمان می‌برد – زمانی کافی برای Pixnapping تا حمله کند. در مقایسه با کدهای 2FA که سریع تغییر می‌کنند، seed phrases مانند یک گنجینه ثابت هستند که دزدها را جذب می‌کنند. تحقیقات نشان می‌دهد که روی دستگاه‌های Pixel، حمله می‌تواند بخشی از phrase را در کمتر از یک دقیقه بازسازی کند، که با داده‌های واقعی از آزمایش‌های 2025 مطابقت دارد.

برای همخوانی با برندهای معتبر، پلتفرم‌هایی مانند WEEX exchange که امنیت بالایی در مدیریت کیف پول‌های crypto ارائه می‌دهند، می‌توانند گزینه‌ای عالی باشند. WEEX با تمرکز روی حفاظت از seed phrases و ادغام با hardware walletها، اعتماد کاربران را جلب کرده و تجربه‌ای امن و کاربرپسند فراهم می‌کند، بدون اینکه نیازی به نمایش اطلاعات حساس روی دستگاه‌های آسیب‌پذیر باشد.

حفاظت با hardware walletها

بهترین راه‌حل، اجتناب از نمایش recovery phrases روی دستگاه‌های متصل به اینترنت است. hardware walletها مانند کلیدهای خارجی عمل می‌کنند که معاملات را بدون افشای کلید خصوصی امضا می‌کنند. این شبیه به نگه داشتن طلا در گاوصندوق است به جای کیف پول جیبی. طبق آمار 2025، بیش از 70 درصد کاربران crypto از hardware walletها برای جلوگیری از چنین حملاتی استفاده می‌کنند، که این ادعا توسط گزارش‌های امنیتی پشتیبانی می‌شود.

در نهایت، این آسیب‌پذیری یادآوری می‌کند که امنیت دیجیتال مانند یک زنجیره است – ضعیف‌ترین حلقه می‌تواند همه چیز را نابود کند. با به‌روزرسانی دستگاه‌ها و استفاده از ابزارهای امن، می‌توانید از دارایی‌های crypto خود محافظت کنید.

بخش FAQ

Pixnapping چیست و چگونه کار می‌کند؟

Pixnapping یک حمله در Android است که اپ‌های مخرب با استفاده از APIها محتوای صفحه را بازسازی می‌کنند. این کار با ماسک کردن پیکسل‌ها و محاسبه رنگ‌ها انجام می‌شود و می‌تواند seed phrases را سرقت کند.

چگونه از seed phrases در Android محافظت کنیم؟

از نمایش آن‌ها روی صفحه اجتناب کنید، دستگاه را به‌روز نگه دارید و از hardware walletها استفاده کنید. همچنین، اپ‌های ناشناخته را نصب نکنید.

آیا این vuln روی همه دستگاه‌های Android تأثیر می‌گذارد؟

بله، روی اکثر دستگاه‌ها با APIهای مشابه، مانند Google Pixel و Samsung Galaxy. گوگل در حال پچ کردن است، اما مراقبت شخصی ضروری است.

قیمت --

ممکن است شما نیز علاقه‌مند باشید

شما به مدت 15 سال به صورت رایگان هوش مصنوعی گوگل را آموزش داده‌اید و حتی نمی‌دانستید

شما ثابت کردید که انسان هستید، فقط برای اینکه خودتان را قابل جایگزینی کنید.

نحوه معامله ارز دیجیتال بدون اپ استور: معاملات فوری ارز دیجیتال در مرورگر WEEX

بدون نیاز به دانلود اپلیکیشن، فوراً ارزهای دیجیتال را معامله کنید. از WEEX H5 برای دسترسی مستقیم به معاملات لحظه‌ای و آتی در مرورگر خود با اجرای سریع، کنترل ریسک در لحظه و تجربه‌ای یکپارچه در تلفن همراه، تبلت و دسکتاپ استفاده کنید. از بیت کوین، اتریوم و موارد دیگر پشتیبانی می‌کند.

از OKX تا Bybit، صرافی‌ها با سرعت بالا در بزرگراه لاستیک عوض می‌کنند

در شرایط فعلی تشدید مقررات جهانی، اگر کسی بتواند مستقیماً با شریکی که از قبل سیستم انطباق با قوانین را ایجاد کرده، مجوز فدرال دریافت کرده، اعتبار یک شرکت پذیرفته شده در بورس را دارد و به کانال‌های همکاری بانکی دسترسی دارد، وارد بازار شود، هزینه آن صرفاً ...

تاریخچه مختصر و آینده قراردادهای دائمی

صرافی‌های قرارداد دائمی غیرمتمرکز، مانند هایپرلیکوئید، با مزایای ساختاری، جایگزین مشتقات سنتی می‌شوند و به پلتفرم‌های مالی تریلیون دلاری تبدیل می‌شوند که دارایی‌های جهانی را جذب می‌کنند.

عامل هوش مصنوعی در همان روز شناسه و کیف پول دریافت می‌کند | خبرهای صبحگاهی ری‌وایر

زیرساخت عامل برای اقتصاد سریع‌تر از آنچه کسی انتظار داشت در حال شکل‌گیری است

IOSG: نگرش انعطاف‌پذیری قدرت: تغییر پارادایم: از دارایی‌های کلان تا لایه هوش توزیع‌شده

از سیستم قدرت خواسته شده است کاری را انجام دهد که برای آن طراحی نشده است.

توضیح افزایش ۳۵ درصدی قیمت موراتا: یک خازن که امپراتوری هوش مصنوعی را سرد می‌کند

انتخاب افزایش در این مقطع زمانی انگیزه مالی روشنی دارد.

مینی‌مکس: یک جوان از شهرستان هنان و ۳۰۰ میلیاردش

پول، کارت‌ها و افراد کمیاب بودند، اما این امر بالاترین سطوح مهارت مهندسی و نوآوری معماری را برانگیخت.

از پروژه رها شده تا هدفی با ارتفاع آسمانی، مسترکارت BVNK را به قیمت 1.8 میلیارد دلار خریداری کرد

استیبل‌کوین دیگر رقیبی برای شبکه‌های کارت نیست، بلکه به جای آن به شبکه زیرین خود به عنوان یک زیرمجموعه تجاری بسیار مکمل ادغام شده است.

آیا قیمت‌گذاری Polymarket دقیق است؟ من یک بحران را با ۲۰۰ عامل شبیه‌سازی کردم تا بفهمم

هر چه تعداد شرکت‌کنندگان بیشتر باشد، ساختار بحث غنی‌تر و سیگنال حاصل ارزشمندتر است.

یک دهه از تنظیمات سرانجام روشن شد، پیروزی برای منطق کریپتو-بومی

سه نمودار برای توضیح اینکه در این سند 68 صفحه‌ای چه چیزی وجود دارد

گزارش صبحگاهی | مسترکارت برنامه دارد تا BVNK را به مبلغ حداکثر ۱.۸ میلیارد دلار خریداری کند؛ بنیاد سولانا توکن‌های جمع‌آوری‌کننده را در سولانا راه‌اندازی می‌کند؛ بیت‌کوین برای اولین بار در چهار سال گذشته ۸ افزایش متوالی را تجربه می‌کند

بررسی رویدادهای مهم بازار در ۱۷ مارس

Aster Chain رسماً راه‌اندازی شد: تعریف عصر جدیدی از حریم خصوصی و شفافیت درون زنجیره‌ای

اکوسیستم معاملاتی Aster با محوریت حریم خصوصی، که توسط YZi Labs پشتیبانی می‌شود، امروز اعلام کرد که شبکه اصلی Aster Chain رسماً راه‌اندازی شده است.

توکن به خارج از کشور می‌رود و برق چین را به جهان می‌فروشد

جنگ برق بدون دود.

RootData: گزارش پژوهشی شفافیت صرافی ارزهای دیجیتال فوریه ۲۰۲۶

حجم کل معاملات اسپات این ماه در صرافی‌های ارز دیجیتال، نسبت به ژانویه، با ۴.۷٪ کاهش اندکی مواجه شده است که این امر ناشی از عوامل متعددی از جمله شرایط بازار، محیط کلان و تعطیلات جشنواره بهار در مناطق چینی‌زبان است.