安全研究人员发现某些由联发科处理器驱动的Android智能手机存在漏洞,攻击者只需物理访问即可在不到一分钟内提取敏感数据,包括加密钱包的种子短语。
@DonjonLedger再次出击,发现可能影响数百万台Android手机的联发科漏洞。再次提醒,智能手机并非为安全设计。即使关机,用户数据——包括PIN码和种子——也能在一分钟内被提取。
— Charles Guillemet (@P3b7_) 2026年3月11日
该漏洞由Ledger的安全研究部门Ledger Donjon发现,并在Nothing CMF Phone 1上演示了该漏洞的利用。研究人员表示,该漏洞影响使用联发科芯片组结合Trustonic技术的设备。
在测试中,团队通过USB将手机连接到笔记本电脑,成功在大约45秒内绕过了核心安全保护。
甚至在未启动Android操作系统的情况下,利用该漏洞可以自动恢复设备的PIN码、解密存储空间,并提取多个流行加密钱包应用存储的种子短语。
研究人员警告,由于该漏洞针对手机的底层硬件安全层,即使在设备关机时也能执行攻击。
理论上,这可能会暴露存储在软件加密钱包应用中的敏感信息,尤其是在攻击者获得设备临时物理访问权限时。
该漏洞已被编号为CVE-2025-20435,可能影响依赖联发科处理器和Trustonic TEE架构的数百万Android智能手机。
Ledger Donjon表示,他们遵循了负责任的披露流程,在公布研究结果前通知了相关厂商。联发科确认已于2026年1月5日向智能手机制造商提供了安全修复方案,帮助设备制造商通过软件更新部署补丁。
此次研究凸显了通用智能手机芯片与专为保护密码学秘密设计的专用硬件之间的架构差异。
安全专家指出,虽然软件加密钱包应用提供了便利,但专用硬件安全组件,如安全元件,能为私钥和种子短语提供更强的保护,尤其是在涉及物理攻击的场景中。
您的Web3身份+服务+支付,一站式链接。立即获取您的pay3.so链接。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
冒充伊朗官员的诈骗者在霍尔木兹海峡向船舶索要比特币和USDT
Gate 新闻消息,4月21日——据希腊海事风险管理公司MARISKS发出的一则警告,冒充伊朗官员的诈骗者正要求以比特币 (BTC) 和泰达 (USDT) 作为霍尔木兹海峡过境费,向穿行于该海峡的船舶索要。该骗局错误地承诺“安全通行
GateNews2小时前
加密黑客勒索导致 $300M May 将拖慢华尔街的区块链雄心
Gate News 消息,4月21日——据 Jefferies LLC 在周二发布的一份报告称,上周末的一起黑客攻击从一个小型加密项目中卷走了近 $300 百万,并引发了在最大的去中心化借贷平台上的 $10 十亿级别挤兑,可能会减缓华尔街日益增长的对区块链技术的兴趣。
GateNews3小时前
安全研究员披露 CometBFT 0-day 漏洞;无法直接进行资产盗取
Gate 新闻消息,4月21日——据 X 上的一则帖子,安全研究员 Doyeon Park 披露了 CometBFT(Cosmos 的共识层)中一个严重的 0-day 漏洞 (CVSS 7.1)。该漏洞可能导致网络节点在区块同步期间卡顿,从而扰乱系统运行,但不能直接导致资产被盗,但不能 d
GateNews5小时前
假冒警察冒充者强迫法国夫妇转移近 $1M 的比特币
法国的罪犯冒充警察,利用恐惧和权威手段,强迫一对夫妇转移近 $1M 的比特币,实施一种“撬锁式攻击”(wrench attack),其利用的是针对人的手段,而不是钱包漏洞。
摘要:攻击者通过冒充身份和心理胁迫,强制实施比特币转账,展示的“撬锁式攻击”指向的是人性的脆弱性,而非技术层面的钱包漏洞。
GateNews6小时前
法国加密专业人士遭遇持械抢劫未遂被挫败;嫌疑人被捕
Gate News 消息,4月21日——法国蒙彼利埃附近的圣让德韦达斯(Saint-Jean-de-Védas)一名40岁的加密行业从业者在家中挫败了一起持械抢劫企图。嫌疑人伪装成快递员进入住所,并要求受害者交出加密货币钱包的私钥
GateNews7小时前
