Ledger内部安全实验室近日披露了Android WebView组件的一个零日漏洞,该漏洞能够让恶意后台应用在不到三秒的时间内,从软件钱包中提取24个单词的恢复种子。
攻击原理
Android的沙箱架构旨在将每个应用的内存与设备上的其他应用隔离。然而,Memory-Mirror可以在特定条件下绕过这种隔离,这些条件并不难以创建。如果用户在运行受损应用的同时,在任何软件钱包中输入种子短语,该种子将在输入后三秒内从共享缓存中提取。用户不会察觉到任何异常,钱包应用行为正常,而种子则悄然消失。
此攻击需要在设备上已安装恶意应用,这降低了入侵门槛,因为许多欺诈性应用可以通过应用商店审核流程,且在加密社区中,侧载APK文件的情况十分普遍。
暴露范围
Ledger Donjon估计,超过70%的运行Android 12至15版本的设备在未安装2026年3月的安全补丁前都存在漏洞。谷歌已于3月5日开始向Pixel设备推送修复补丁,三星和小米的补丁预计在3月底发布。所有未收到版本号以.0326结尾的Android设备均处于易受攻击状态。
CoinGecko今日发布的热钱包排名中,Trust Wallet位居第一,MetaMask位列第二。由于无法确认设备的补丁状态,这两款钱包已暂时禁用Android上的通过种子导入功能。排名第四的Phantom也受到相似影响。这三款最受欢迎的非托管移动钱包已在其大多数用户使用的平台上暂停了种子导入功能。
及时采取措施
持有任何软件钱包中加密资产的Android用户应立即检查是否已安装2026年3月的安全更新。可以通过设置,安全或系统,然后软件更新,确认版本号是否以.0326结尾。如果制造商尚未提供更新,则在种子输入时应将设备视为已被攻破。
Ledger的建议不仅限于打补丁。无论在哪种软件钱包中,通过任何移动键盘输入恢复种子都存在固有风险,这种风险与Memory-Mirror无关。键盘本身、剪贴板管理器和屏幕录制应用都可能成为提取向量,而硬件钱包则通过设计消除了这些风险。Ledger Nano和Stax设备不受Memory-Mirror影响,因为种子短语从未离开设备的安全元件芯片,也未在任何时候暴露于Android操作系统中。