Κρίσιμο Τρωτό Σημείο Android Μπορεί να Κλέψει τη Φράση Ανάκτησης των Κρυπτονομισμάτων σας σε 3 Δευτερόλεπτα

Το εσωτερικό εργαστήριο ασφαλείας της Ledger αποκάλυψε μια ευπάθεια zero-day στο στοιχείο WebView του Android που επιτρέπει σε κακόβουλες εφαρμογές παρασκηνίου να εξάγουν μια φράση ανάκτησης 24 λέξεων από πορτοφόλια λογισμικού σε λιγότερο από τρία δευτερόλεπτα.

Πώς Λειτουργεί η Επίθεση

Η ευπάθεια, που ονομάζεται Memory-Mirror από τους ερευνητές της Ledger Donjon, εκμεταλλεύεται ένα σφάλμα στο Android System WebView, το στοιχείο που αποδίδει περιεχόμενο ιστού μέσα σε εφαρμογές. Μια κακόβουλη εφαρμογή που εκτελείται στο παρασκήνιο μπορεί να προκαλέσει διαρροή μνήμης που αντικατοπτρίζει τα περιεχόμενα του ιδιωτικού χώρου μνήμης μιας εφαρμογής πορτοφολιού σε μια κοινόχρηστη κρυφή μνήμη προσβάσιμη εκτός των κανονικών ορίων sandbox.

Η αρχιτεκτονική sandboxing του Android έχει σχεδιαστεί για να απομονώνει τη μνήμη κάθε εφαρμογής από κάθε άλλη εφαρμογή στη συσκευή. Το Memory-Mirror παρακάμπτει αυτή την απομόνωση υπό συγκεκριμένες συνθήκες που δεν είναι δύσκολο να δημιουργηθούν. Εάν ένας χρήστης εισαγάγει τη φράση seed του σε οποιοδήποτε πορτοφόλι λογισμικού ενώ μια παραβιασμένη εφαρμογή εκτελείται στο παρασκήνιο, το seed μπορεί να εξαχθεί από την κοινόχρηστη κρυφή μνήμη εντός τριών δευτερολέπτων από την εισαγωγή. Ο χρήστης δεν βλέπει τίποτα ασυνήθιστο. Η εφαρμογή πορτοφολιού συμπεριφέρεται κανονικά. Το seed έχει χαθεί.

Η επίθεση απαιτεί μια κακόβουλη εφαρμογή να είναι ήδη εγκατεστημένη στη συσκευή, κάτι που μειώνει σημαντικά το εμπόδιο δεδομένου του όγκου των δόλιων εφαρμογών που περνούν από τις διαδικασίες ελέγχου των καταστημάτων εφαρμογών και της επικράτησης των αρχείων APK που φορτώνονται εκτός καταστήματος στην κοινότητα κρυπτονομισμάτων.

Η Έκταση της Έκθεσης

Η Ledger Donjon εκτιμά ότι πάνω από το 70% των συσκευών Android που εκτελούν εκδόσεις 12 έως 15 παραμένουν ευάλωτες χωρίς την ενημέρωση ασφαλείας Μαρτίου 2026. Η Google ξεκίνησε τη διανομή της διόρθωσης σε συσκευές Pixel στις 5 Μαρτίου. Οι ενημερώσεις για Samsung και Xiaomi αναμένονται μέχρι τα τέλη Μαρτίου. Κάθε συσκευή Android που δεν έχει λάβει έκδοση build που τελειώνει σε .0326 είναι επί του παρόντος ευάλωτη.

Η κατάταξη hot wallet του CoinGecko που δημοσιεύθηκε νωρίτερα σήμερα τοποθέτησε το Trust Wallet στην πρώτη θέση και το MetaMask στη δεύτερη παγκοσμίως. Και τα δύο πορτοφόλια έχουν απενεργοποιήσει προσωρινά τη λειτουργία Εισαγωγής μέσω Seed στο Android μέχρι να επαληθευτεί η κατάσταση ενημέρωσης της συσκευής. Το Phantom στην τέταρτη θέση της ίδιας λίστας επηρεάζεται με παρόμοιο τρόπο. Τα τρία πιο δημοφιλή μη θεματοφυλακτικά πορτοφόλια κινητών στον κόσμο έχουν αναστείλει τη λειτουργία εισαγωγής seed στην πλατφόρμα μέσω της οποίας η πλειοψηφία των χρηστών τους έχει πρόσβαση.

Τι Πρέπει να Κάνετε Άμεσα

Οι χρήστες Android που κατέχουν κρυπτονομίσματα σε οποιοδήποτε πορτοφόλι λογισμικού θα πρέπει να ελέγξουν άμεσα για την ενημέρωση ασφαλείας Μαρτίου 2026. Μεταβείτε στις Ρυθμίσεις, στη συνέχεια στην Ασφάλεια ή το Σύστημα, στη συνέχεια στην Ενημέρωση Λογισμικού και επαληθεύστε ότι η έκδοση build τελειώνει σε .0326. Εάν η ενημέρωση δεν είναι ακόμη διαθέσιμη από τον κατασκευαστή της συσκευής, αντιμετωπίστε τη συσκευή ως παραβιασμένη για σκοπούς εισαγωγής seed μέχρι να είναι.

Οι συστάσεις της Ledger εκτείνονται πέρα από την ενημέρωση. Η εισαγωγή ενός seed ανάκτησης σε οποιοδήποτε πληκτρολόγιο κινητού σε οποιοδήποτε πορτοφόλι λογισμικού φέρει εγγενή κίνδυνο που υπάρχει ανεξάρτητα από το Memory-Mirror. Το ίδιο το πληκτρολόγιο, οι διαχειριστές προχείρου και οι εφαρμογές εγγραφής οθόνης αντιπροσωπεύουν όλα πιθανά διανύσματα εξαγωγής που τα πορτοφόλια υλικού εξαλείφουν εκ σχεδιασμού. Οι συσκευές Ledger Nano και Stax δεν επηρεάζονται από το Memory-Mirror επειδή η φράση seed δεν εγκαταλείπει ποτέ το τσιπ Secure Element της συσκευής και δεν εκτίθεται ποτέ στο λειτουργικό σύστημα Android σε κανένα σημείο.

Η λειτουργία προστασίας δηλητηρίασης διεύθυνσης του Trust Wallet που καλύφθηκε σε αυτή τη δημοσίευση χθες υπερασπίστηκε τους χρήστες έναντι ενός διανύσματος επίθεσης στο επίπεδο συναλλαγών. Το Memory-Mirror λειτουργεί σε θεμελιωδώς βαθύτερο επίπεδο, στοχεύοντας το ίδιο το seed παρά μια μεμονωμένη συναλλαγή. Ένα παραβιασμένο seed θέτει σε κίνδυνο κάθε πορτοφόλι, κάθε αλυσίδα και κάθε περιουσιακό στοιχείο που προέρχεται από αυτό μόνιμα.

Ενημερώστε τη συσκευή. Μην εισαγάγετε φράσεις seed σε κινητό μέχρι να επιβεβαιωθεί η εγκατάσταση της ενημέρωσης.

Η ανάρτηση Critical Android Vulnerability Can Steal Your Crypto Seed Phrase in 3 Seconds εμφανίστηκε πρώτα στο ETHNews.