嚴重 Android 漏洞可在 3 秒內竊取您的加密貨幣助記詞

Ledger 內部安全實驗室披露了 Android WebView 元件中的零日漏洞,該漏洞允許惡意背景應用程式在三秒內從軟體錢包中提取 24 個字的恢復助記詞。

攻擊運作方式

這個被 Ledger Donjon 研究人員命名為 Memory-Mirror 的漏洞,利用了 Android System WebView 中的錯誤,該元件負責在應用程式內呈現網頁內容。在背景執行的惡意應用程式可以觸發記憶體洩漏,將錢包應用程式私有記憶體空間的內容映射到可在正常沙箱邊界外存取的共享快取中。

Android 的沙箱架構旨在將每個應用程式的記憶體與裝置上的其他應用程式隔離。Memory-Mirror 在並不難創造的特定條件下繞過了這種隔離。如果使用者在被入侵的應用程式於背景執行時,將助記詞輸入任何軟體錢包,該助記詞可在輸入後三秒內從共享快取中提取。使用者看不到任何異常。錢包應用程式運作正常。助記詞已經失竊。

此攻擊需要惡意應用程式已安裝在裝置上,考慮到通過應用程式商店審核流程的詐騙應用程式數量,以及加密貨幣社群中側載 APK 檔案的普遍性,這大大降低了門檻。

曝險範圍

Ledger Donjon 估計,超過 70% 執行 12 至 15 版本的 Android 裝置在沒有 2026 年 3 月安全修補程式的情況下仍然存在漏洞。Google 於 3 月 5 日開始向 Pixel 裝置推出修復程式。Samsung 和 Xiaomi 的修補程式預計將於 3 月底推出。每個尚未收到版本號以 .0326 結尾的 Android 裝置目前都容易受到攻擊。

今天稍早發布的 CoinGecko 熱錢包排名將 Trust Wallet 列為全球第一,MetaMask 列為第二。兩個錢包都已暫時停用 Android 上的助記詞匯入功能,直到可以驗證裝置修補狀態為止。同一份名單上排名第四的 Phantom 也同樣受到影響。全球三個最受歡迎的非託管行動錢包已在大多數使用者存取的平台上暫停助記詞匯入功能。

立即採取的措施

在任何軟體錢包中持有加密貨幣的 Android 使用者應立即檢查 2026 年 3 月安全更新。前往「設定」,然後選擇「安全性」或「系統」,再選擇「軟體更新」,並驗證版本號以 .0326 結尾。如果裝置製造商尚未提供更新,在更新推出之前,請將該裝置視為已被入侵,不要用於輸入助記詞。

Ledger 的建議不僅限於修補。在任何軟體錢包的行動鍵盤上輸入恢復助記詞都存在獨立於 Memory-Mirror 的固有風險。鍵盤本身、剪貼簿管理器和螢幕錄影應用程式都代表潛在的提取途徑,而硬體錢包在設計上消除了這些風險。Ledger Nano 和 Stax 裝置不受 Memory-Mirror 影響,因為助記詞永遠不會離開裝置的安全元件晶片,並且在任何時候都不會暴露給 Android 作業系統。

昨天本刊報導的 Trust Wallet 地址投毒防護功能在交易層面保護使用者免受一種攻擊途徑的侵害。Memory-Mirror 在更深層次的基礎層面運作,針對的是助記詞本身而非單一交易。被入侵的助記詞會永久性地危及從中衍生的每個錢包、每條鏈和每項資產。

更新裝置。在確認修補程式已安裝之前,不要在行動裝置上輸入助記詞。

本文「嚴重 Android 漏洞可在 3 秒內竊取您的加密貨幣助記詞」首次發表於 ETHNews。