联发科芯片漏洞引发安卓设备数据安全危机

根据加密货币硬件钱包制造商Ledger旗下安全研究团队Donjon的最新发现,部分搭载联发科处理器的安卓智能手机存在严重安全缺陷,攻击者仅需通过USB连接即可在一分钟内完成对加密用户数据的提取。 该研究团队在测试中将Nothing CMF Phone 1连接至笔记本电脑,仅用45秒便突破设备防护机制。首席技术官在社交媒体上指出,这一漏洞可能波及数百万台安卓设备,凸显当前智能手机在设计时对安全性的忽视。即使设备处于关机状态,其存储的PIN码、密钥短语等敏感信息仍可被快速读取。

漏洞利用方式与潜在影响

此次攻击针对设备的安全启动链,攻击者可在操作系统加载前通过物理接口获取根加密密钥,实现离线解密。除测试机型外,采用联发科芯片的设备还包括三星、摩托罗拉、小米、POCO、真我、vivo、OPPO、传音、iQOO等多个主流品牌手机,以及部分加密货币专用终端。尽管具体影响范围尚未全面确认,但已明确存在广泛风险。 研究团队成功恢复了设备的PIN码,并解密了多个加密货币钱包中的私钥信息,涉及Trust Wallet、Base、Kraken Wallet等六款主流应用。此外,该漏洞还可能危及通讯记录、个人图像、财务信息及账户凭证等非加密资产。

硬件钱包与软件钱包的安全对比

加密货币钱包分为软件钱包与硬件钱包两类。软件钱包依赖移动设备运行,虽具备使用便捷、成本低廉的优势,但其安全性受限于通用处理器架构。相比之下,硬件钱包配备专用安全芯片,能将密钥与主系统隔离,即便在遭受物理攻击的情况下也能维持保护能力。 Donjon团队在分析安卓闪存加密机制时发现该漏洞。依据90天责任披露政策,相关细节已提交至芯片厂商。目前,漏洞修复方案已由制造商正式发布,建议用户及时更新系统以降低风险。