严重的安卓漏洞可在3秒内窃取您的加密货币助记词

Ledger 的内部安全实验室披露了 Android WebView 组件中的零日漏洞,该漏洞允许恶意后台应用程序在三秒内从软件钱包中提取 24 个单词的恢复种子。

攻击原理

该漏洞被 Ledger Donjon 研究人员命名为 Memory-Mirror,利用了 Android System WebView 中的错误,该组件负责在应用程序内渲染网页内容。在后台运行的恶意应用程序可以触发内存泄漏,将钱包应用程序的私有内存空间内容镜像到正常沙盒边界之外可访问的共享缓存中。

Android 的沙盒架构旨在将每个应用程序的内存与设备上的其他应用程序隔离开来。Memory-Mirror 在不难创建的特定条件下绕过了这种隔离。如果用户在受感染的应用程序在后台运行时将其种子短语输入任何软件钱包,则种子可在输入后三秒内从共享缓存中提取。用户看不到任何异常。钱包应用程序正常运行。种子已被盗走。

该攻击需要恶意应用程序已经安装在设备上,考虑到通过应用商店审核流程的欺诈性应用程序数量以及加密货币社区中侧载 APK 文件的普遍性,这大大降低了门槛。

暴露范围

Ledger Donjon 估计,超过 70% 运行版本 12 至 15 的 Android 设备在没有 2026 年 3 月安全补丁的情况下仍然容易受到攻击。Google 于 3 月 5 日开始向 Pixel 设备推出修复程序。Samsung 和 Xiaomi 的补丁预计将于 3 月下旬推出。每个未收到以 .0326 结尾的构建版本的 Android 设备目前都容易受到攻击。

今天早些时候发布的 CoinGecko 热钱包排名将 Trust Wallet 列为全球第一,MetaMask 列为第二。这两个钱包都暂时禁用了 Android 上的通过种子导入功能,直到可以验证设备补丁状态。同一列表中排名第四的 Phantom 也同样受到影响。全球三个最受欢迎的非托管移动钱包已在大多数用户访问它们的平台上暂停了种子导入功能。

立即采取的措施

在任何软件钱包中持有加密货币的 Android 用户应立即检查 2026 年 3 月安全更新。导航至设置,然后是安全或系统,然后是软件更新,并验证构建版本以 .0326 结尾。如果设备制造商尚未提供更新,则在更新之前将设备视为在种子输入方面受到损害。

Ledger 的建议不仅限于打补丁。在任何软件钱包的移动键盘上输入恢复种子都存在独立于 Memory-Mirror 的固有风险。键盘本身、剪贴板管理器和屏幕录制应用程序都代表了硬件钱包通过设计消除的潜在提取途径。Ledger Nano 和 Stax 设备不受 Memory-Mirror 影响,因为种子短语永远不会离开设备的安全元件芯片,并且在任何时候都不会暴露给 Android 操作系统。

昨天本刊报道的 Trust Wallet 地址投毒保护功能在交易层防御了一种攻击途径。Memory-Mirror 在根本上更深的层面运作,针对种子本身而不是单个交易。受损的种子会永久性地损害从中派生的每个钱包、每条链和每项资产。

更新设备。在确认安装补丁之前,不要在移动设备上输入种子短语。

《严重的 Android 漏洞可在 3 秒内窃取您的加密货币种子短语》一文首次发布于 ETHNews。