ثغرة أندرويد خطيرة يمكنها سرقة عبارة الاسترداد الخاصة بعملاتك الرقمية في 3 ثوانٍ

كشف مختبر الأمن الداخلي لشركة Ledger عن ثغرة أمنية من نوع zero-day في مكون WebView الخاص بنظام Android تسمح للتطبيقات الضارة التي تعمل في الخلفية باستخراج عبارة البذور المكونة من 24 كلمة من محافظ البرمجيات في أقل من ثلاث ثوانٍ.

كيف تعمل الهجمة

الثغرة الأمنية، المسماة Memory-Mirror من قبل باحثي Ledger Donjon، تستغل خللاً في Android System WebView، وهو المكون الذي يعرض محتوى الويب داخل التطبيقات. يمكن لتطبيق ضار يعمل في الخلفية أن يؤدي إلى تسرب في الذاكرة ينسخ محتويات مساحة الذاكرة الخاصة لتطبيق المحفظة إلى ذاكرة تخزين مؤقتة مشتركة يمكن الوصول إليها خارج حدود العزل الطبيعية.

تم تصميم بنية العزل في Android لعزل ذاكرة كل تطبيق عن كل تطبيق آخر على الجهاز. تتجاوز Memory-Mirror هذا العزل في ظل ظروف محددة ليس من الصعب إنشاؤها. إذا أدخل المستخدم عبارة البذور الخاصة به في أي محفظة برمجية بينما يعمل تطبيق مخترق في الخلفية، فيمكن استخراج عبارة البذور من الذاكرة المؤقتة المشتركة في غضون ثلاث ثوانٍ من الإدخال. لا يرى المستخدم أي شيء غير عادي. يتصرف تطبيق المحفظة بشكل طبيعي. لكن عبارة البذور قد اختفت.

تتطلب الهجمة وجود تطبيق ضار مثبت بالفعل على الجهاز، مما يخفض الحاجز بشكل كبير نظرًا لحجم التطبيقات الاحتيالية التي تمر عبر عمليات مراجعة متجر التطبيقات وانتشار ملفات APK المحملة جانبياً في مجتمع الكريبتو.

نطاق التعرض

يقدر Ledger Donjon أن أكثر من 70% من أجهزة Android التي تعمل بالإصدارات من 12 إلى 15 لا تزال عرضة للخطر دون تصحيح أمان مارس 2026. بدأت Google في طرح الإصلاح لأجهزة Pixel في 5 مارس. من المتوقع صدور تصحيحات Samsung وXiaomi بحلول نهاية مارس. كل جهاز Android لم يتلق إصدار بناء ينتهي بـ .0326 معرض حالياً للخطر.

وضع تصنيف المحفظة الساخنة من CoinGecko المنشور في وقت سابق اليوم Trust Wallet في المرتبة الأولى وMetaMask في المرتبة الثانية عالمياً. عطلت كلتا المحفظتين مؤقتاً ميزة الاستيراد عبر عبارة البذور على Android حتى يمكن التحقق من حالة التصحيح على الجهاز. Phantom في المرتبة الرابعة على نفس القائمة متأثرة بالمثل. أوقفت المحافظ المحمولة الثلاثة الأكثر شعبية غير الأمينية في العالم وظيفة استيراد عبارة البذور على المنصة التي يصل إليها غالبية مستخدميها.

ما يجب القيام به على الفور

يجب على مستخدمي Android الذين يحتفظون بالكريبتو في أي محفظة برمجية التحقق من تحديث الأمان لشهر مارس 2026 على الفور. انتقل إلى الإعدادات، ثم الأمان أو النظام، ثم تحديث البرنامج، وتحقق من أن إصدار البناء ينتهي بـ .0326. إذا لم يكن التحديث متاحاً بعد من الشركة المصنعة للجهاز، فتعامل مع الجهاز على أنه مخترق لأغراض إدخال عبارة البذور حتى يصبح متاحاً.

تتجاوز توصيات Ledger مجرد التصحيح. إدخال عبارة بذور الاسترداد في أي لوحة مفاتيح محمولة على أي محفظة برمجية ينطوي على مخاطر متأصلة موجودة بشكل مستقل عن Memory-Mirror. لوحة المفاتيح نفسها، ومديرو الحافظة، وتطبيقات تسجيل الشاشة تمثل جميعها نواقل استخراج محتملة تلغيها محافظ الأجهزة بالتصميم. أجهزة Ledger Nano وStax غير متأثرة بـ Memory-Mirror لأن عبارة البذور لا تغادر شريحة العنصر الآمن للجهاز أبداً ولا تتعرض لنظام تشغيل Android في أي وقت.

ميزة الحماية من تسميم العناوين في Trust Wallet التي تم تغطيتها في هذا المنشور أمس دافعت عن المستخدمين ضد ناقل هجوم واحد على مستوى المعاملة. تعمل Memory-Mirror على مستوى أعمق بشكل أساسي، مستهدفة عبارة البذور نفسها بدلاً من معاملة واحدة. عبارة بذور مخترقة تخترق كل محفظة، وكل سلسلة، وكل أصل مشتق منها بشكل دائم.

قم بتحديث الجهاز. لا تدخل عبارات البذور على الهاتف المحمول حتى يتم تأكيد تثبيت التصحيح.

ظهرت المقالة ثغرة أمنية حرجة في Android يمكنها سرقة عبارة البذور الخاصة بالكريبتو في 3 ثوانٍ لأول مرة على ETHNews.