加密货币硬件钱包制造商Ledger的最新研究显示,某些搭载联发科处理器的Android智能手机存在漏洞,攻击者仅需USB连接即可在不到一分钟内提取加密用户数据。
Ledger内部安全研究团队Donjon发现,白帽黑客通过将Nothing CMF Phone 1连接到笔记本电脑,在不到45秒的时间内成功攻破设备安全防护。
“Donjon再次出击,发现了一个可能影响数百万Android手机的联发科漏洞。这再次提醒我们,智能手机并非为安全而设计,”Ledger首席技术官Charles Guillemet在X上写道。”即使手机关机,用户数据——包括PIN码和助记词——也能在不到一分钟内被提取。”
Donjon团队报告称,他们能够恢复Nothing CMF Phone 1的PIN码,解密其存储,并在不启动Android系统的情况下从多个加密钱包中提取助记词,包括Trust Wallet、Base、Kraken Wallet、Rabby、Tangem移动钱包和Phantom。
该漏洞针对手机的安全启动链,Donjon表示,攻击者可以通过USB连接并在操作系统加载前提取根加密密钥,从而能够离线解密设备存储。
根据Chainalysis 2025年7月的报告,个人钱包被盗事件在加密货币盗窃中所占比例不断上升,攻击者越来越多地针对个人用户,占2025年迄今为止所有被盗资金活动的23.35%。
Ledger表示,Donjon团队在分析Android闪存加密安全性时发现了此漏洞。该公司根据90天负责任披露政策向联发科和Trustonic披露了该漏洞,联发科于本月早些时候公开披露了此漏洞。
其他使用联发科芯片的设备包括以加密货币为中心的Solana Seeker,以及三星、摩托罗拉、小米、POCO、Realme、Vivo、OPPO、Tecno和iQOO等品牌的智能手机。然而,目前尚不清楚除了Nothing CMF Phone 1之外还有哪些手机可能受到此漏洞影响。
尽管演示主要关注加密钱包,但Donjon表示,暴露的风险可能扩展到设备上存储的其他敏感信息,包括消息、照片、财务信息和账户凭证。
Guillemet表示,纯软件方法存在权衡,并强调了”通用”手机芯片与专门为私钥保护设计的芯片之间的基本架构差异。
“通用芯片是为便利性而构建的,”他写道。”安全元件是为密钥保护而构建的。专用的安全元件将密钥与系统其他部分隔离,即使在物理攻击下也能保护它们。”
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/03/13/ledger%e8%ad%a6%e5%91%8a%ef%bc%9a%e8%81%94%e5%8f%91%e7%a7%91%e6%bc%8f%e6%b4%9e%e5%8f%af%e8%83%bd%e5%8d%b1%e5%8f%8aandroid%e6%89%8b%e6%9c%ba%e5%8a%a0%e5%af%86%e9%92%b1%e5%8c%85%e5%ae%89%e5%85%a8/
