安全研究人員已發現某些由聯發科處理器驅動的Android智能手機存在漏洞,可能允許攻擊者在實體存取的情況下,在不到一分鐘的時間內提取敏感資料,包括加密貨幣錢包的種子短語。
@DonjonLedger 再次出擊,發現一個可能影響數百萬台Android手機的聯發科漏洞。再次提醒,智能手機並非為安全設計。即使關機,用戶資料——包括PIN碼和種子短語——也能在不到一分鐘內被提取。
— Charles Guillemet (@P3b7_) 2026年3月11日
該漏洞由Ledger的安全研究單位Ledger Donjon發現,並在Nothing CMF Phone 1上演示了該漏洞的利用方式。研究人員表示,該漏洞影響使用聯發科晶片並結合Trustonic技術的設備。
在測試過程中,團隊將手機通過USB連接到筆記本電腦,並在約45秒內成功繞過核心安全防護。
甚至在未啟動Android操作系統的情況下,該漏洞也能自動恢復設備的PIN碼、解密存儲空間,並提取多個流行加密貨幣錢包應用存儲的種子短語。
研究人員警告,由於該漏洞針對手機的底層硬體安全層,即使在設備關機時也能執行攻擊。
理論上,若攻擊者獲得臨時實體存取權,可能會暴露存儲在軟體加密貨幣錢包應用中的敏感資訊。
此問題已被分配識別碼CVE-2025-20435,可能影響依賴聯發科處理器和Trustonic TEE架構的數百萬台Android智能手機。
Ledger Donjon表示,已採取負責任的披露流程,在公布研究結果前通知相關廠商。聯發科確認已於2026年1月5日向手機製造商提供安全修補,讓設備製造商能透過軟體更新部署修補程式。
該研究突顯了通用手機晶片與專為保護密碼學秘密而設計的專用硬體之間的架構差異。
安全專家指出,雖然軟體加密貨幣錢包應用提供便利,但專用硬體安全元件,如安全元件,能為私鑰和種子短語提供更強的保護,尤其在面對實體攻擊時。
您的Web3身份+服務+支付,一個連結搞定。立即取得pay3.so連結。
