联发科芯片漏洞暴露安卓手机数据安全风险

联发科芯片漏洞威胁安卓设备数据安全

加密货币硬件钱包厂商Ledger旗下Donjon团队披露，部分搭载联发科处理器的安卓手机存在严重安全缺陷。攻击者仅需通过USB接口连接，即可在一分钟内提取设备中加密存储的用户信息，涵盖PIN码、密钥短语等敏感内容。

漏洞利用实测：45秒突破安全防线

研究团队以Nothing CMF Phone 1为测试机型，成功在未启动系统的情况下完成攻击。通过物理连接笔记本电脑，团队在45秒内获取根加密密钥，并解密设备存储空间。该过程不依赖操作系统运行，即使设备处于关机状态也有效。

攻击成果包括恢复设备PIN码，访问多个主流加密货币钱包（如Trust Wallet、Base、Kraken Wallet）内的私钥信息，表明该漏洞对数字资产存储构成直接威胁。

漏洞原理与广泛影响范围

该漏洞针对安卓设备的安全启动链，允许攻击者在系统加载前通过USB接口读取底层加密密钥。由于联发科芯片被广泛用于三星、小米、OPPO、vivo、摩托罗拉、传音、iQOO、真我等多个品牌设备，潜在受影响设备数量庞大。

尽管测试集中于加密货币应用，但研究人员强调，该漏洞同样可能暴露通讯记录、个人照片、财务账户及其他隐私数据，对普通用户构成普遍性风险。

硬件钱包与软件钱包的安全对比

加密货币钱包分为软件钱包与硬件钱包两类。软件钱包依赖通用移动芯片，虽使用便捷，但安全性受限；而硬件钱包采用专用安全元件，可将密钥与主系统隔离，具备更强的抗物理攻击能力。

Donjon团队在分析安卓闪存加密机制时发现此漏洞，依据90天责任披露政策，已向芯片制造商提交报告。相关修复方案已于本月初发布，建议用户及时更新固件以降低风险。