联发科（MediaTek）修复可致加密种子在45秒内被盗的高危漏洞

作者：Ciaran Lyons专职撰稿人

由Felix Ng审阅编辑

联发科（MediaTek）修复可致加密种子在45秒内被盗的高危漏洞 19分钟前Ledger 的白帽安全团队表示，他们发现了联发科安全启动链中的一个漏洞，该漏洞可能被用来从某些安卓设备中窃取敏感信息。 最新资讯        

据报道，手机芯片制造商联发科今年1月修补了一个影响其芯片组的漏洞，该漏洞可能允许攻击者仅通过一根USB数据线和相应软件，在受影响设备上窃取加密助记词。 Ledger白帽安全团队Donjon发现了这一漏洞，并在1月5日补丁发布前与联发科分享了该漏洞，但Ledger表示，尚未安装最新版安全补丁的用户应尽快更新。 测试设备45秒被攻破 据Ledger介绍，漏洞源于联发科的安全启动链，这是嵌入芯片的一项安全机制，保证手机开机时在安全环境下启动，并仅运行授权软件。 Ledger在提供给Cointelegraph的声明中表示，该漏洞可以让攻击者通过USB将Android手机连接到计算机，并绕过安全防护，进而有可能获取设备上的敏感数据，包括加密钱包助记词。 来源：Charles Guillemet约有25%的安卓手机使用Trustonic可信执行环境（TEE）和联发科处理器，而此次安全漏洞正是针对这些设备展开攻击。 Donjon团队演示了攻击过程：他们将Nothing CMF Phone 1连接到笔记本电脑，仅用约45秒就攻破了设备安全防护。 Ledger表示：“无需启动安卓系统，利用该漏洞即可自动恢复手机PIN码、解密存储并从最流行的钱包软件（如Trust Wallet、Base、Kraken Wallet、Rabby、Tangem的Mobile Wallet和Phantom）中提取助记词。” 尽管Ledger强烈敦促用户及时更新设备，但其发言人在接受Cointelegraph采访时表示，“我们不认为这一问题会在今后持续存在。” Ledger称移动端永远无法保证安全 截至2025年初，接近3600万人 在手机上管理数字资产，即使只有一个漏洞，都会令大量加密钱包面临风险。 Ledger在2025年12月披露，其测试过一次针对联发科天玑7300（MT6878）的攻击，并通过该漏洞 实现了对智能手机“完全且彻底的控制，安全防线全部失效”。 Ledger首席技术官Charles Guillemet 2020年6月在接受Cointelegraph采访时 曾表示，无论安卓还是iPhone手机，“都极难实现真正安全的应用”。 他在本周三于X（前Twitter）平台再次强调 ：“智能手机并非为安全而设计。即使彻底关机，用户数据——包括PIN码与助记词——也可在一分钟内被提取。” 他还表示：“这项研究凸显了根本性的架构差异：通用芯片追求便利性，而安全元件（Secure Element）旨在密钥保护。专用安全元件将密钥隔离于系统其他部分，即便遭遇物理攻击也能保障其安全。” 相关推荐：CertiK：2025年，加密货币ATM损失激增33%，人工智能（AI）诈骗愈演愈烈

Cointelegraph 致力于独立、透明的新闻报道。本文依据 Cointelegraph 的编辑政策制作，旨在提供准确且及时的信息。建议读者自行核实相关信息。阅读我们的编辑政策https://cn.cointelegraph.com/editorial-policy #加密货币 #Bitcoin Wallet #Security #Ledger #Scams & Cybercrime