Krytyczna luka w Androidzie może ukraść Twoją frazę seed kryptowaluty w 3 sekundy

Wewnętrzne laboratorium bezpieczeństwa Ledger ujawniło lukę zero-day w komponencie WebView systemu Android, która umożliwia złośliwym aplikacjom działającym w tle wyodrębnienie 24-wyrazowego ziarna odzyskiwania z portfeli programowych w mniej niż trzy sekundy.

Jak działa atak

Luka, nazwana Memory-Mirror przez badaczy Ledger Donjon, wykorzystuje błąd w Android System WebView, komponencie renderującym treści internetowe w aplikacjach. Złośliwa aplikacja działająca w tle może wywołać wyciek pamięci, który odzwierciedla zawartość prywatnej przestrzeni pamięci aplikacji portfela w pamięci podręcznej dostępnej poza normalnymi granicami piaskownicy.

Architektura piaskownicy systemu Android została zaprojektowana w celu izolowania pamięci każdej aplikacji od innych aplikacji na urządzeniu. Memory-Mirror omija tę izolację w określonych warunkach, które nie są trudne do stworzenia. Jeśli użytkownik wprowadzi swoje ziarno do dowolnego portfela programowego, gdy w tle działa zainfekowana aplikacja, ziarno można wyodrębnić z pamięci podręcznej w ciągu trzech sekund od wprowadzenia. Użytkownik nie zauważa nic niezwykłego. Aplikacja portfela zachowuje się normalnie. Ziarno znika.

Atak wymaga, aby złośliwa aplikacja była już zainstalowana na urządzeniu, co znacznie obniża barierę, biorąc pod uwagę liczbę fałszywych aplikacji, które przechodzą przez proces weryfikacji w sklepach z aplikacjami oraz rozpowszechnienie plików APK instalowanych z boku w społeczności kryptowalutowej.

Zakres zagrożenia

Ledger Donjon szacuje, że ponad 70% urządzeń z systemem Android w wersjach od 12 do 15 pozostaje narażonych bez poprawki bezpieczeństwa z marca 2026 roku. Google rozpoczął wdrażanie poprawki na urządzeniach Pixel 5 marca. Poprawki dla Samsung i Xiaomi spodziewane są pod koniec marca. Każde urządzenie z systemem Android, które nie otrzymało wersji kompilacji kończącej się na .0326, jest obecnie podatne na atak.

Ranking gorących portfeli CoinGecko opublikowany dzisiaj umieścił Trust Wallet na pierwszym miejscu, a MetaMask na drugim miejscu na świecie. Oba portfele tymczasowo wyłączyły funkcję importu przez ziarno na Androidzie, dopóki nie zostanie zweryfikowany status poprawki urządzenia. Phantom na czwartym miejscu na tej samej liście jest podobnie dotknięty. Trzy najpopularniejsze portfele mobilne non-custodial na świecie zawiesiły funkcjonalność importu ziarna na platformie, przez którą większość ich użytkowników uzyskuje do nich dostęp.

Co zrobić natychmiast

Użytkownicy Androida przechowujący kryptowaluty w dowolnym portfelu programowym powinni natychmiast sprawdzić dostępność aktualizacji zabezpieczeń z marca 2026 roku. Przejdź do Ustawień, następnie Bezpieczeństwo lub System, następnie Aktualizacja oprogramowania i sprawdź, czy wersja kompilacji kończy się na .0326. Jeśli aktualizacja nie jest jeszcze dostępna od producenta urządzenia, traktuj urządzenie jako zainfekowane do celów wprowadzania ziarna, dopóki nie zostanie zaktualizowane.

Zalecenia Ledger wykraczają poza instalację poprawek. Wprowadzanie ziarna odzyskiwania do dowolnej mobilnej klawiatury w dowolnym portfelu programowym niesie ze sobą nieodłączne ryzyko, które istnieje niezależnie od Memory-Mirror. Sama klawiatura, menedżery schowka i aplikacje do nagrywania ekranu stanowią potencjalne wektory wyodrębniania, które portfele sprzętowe eliminują z założenia. Urządzenia Ledger Nano i Stax nie są dotknięte przez Memory-Mirror, ponieważ ziarno nigdy nie opuszcza chipu Secure Element urządzenia i nie jest nigdy narażone na system operacyjny Android.

Funkcja ochrony przed zatruwaniem adresów Trust Wallet omówiona w tej publikacji wczoraj broniła użytkowników przed jednym wektorem ataku na warstwie transakcji. Memory-Mirror działa na fundamentalnie głębszym poziomie, atakując samo ziarno, a nie pojedynczą transakcję. Zainfekowane ziarno trwale kompromituje każdy portfel, każdy łańcuch i każdy składnik aktywów z niego wynikający.

Zaktualizuj urządzenie. Nie wprowadzaj ziaren na urządzeniach mobilnych, dopóki nie zostanie potwierdzona instalacja poprawki.

Wpis Krytyczna luka w systemie Android może ukraść Twoje ziarno kryptowalutowe w 3 sekundy ukazał się po raz pierwszy na ETHNews.