آسیب‌پذیری بحرانی اندروید می‌تواند عبارت بازیابی کریپتوی شما را در ۳ ثانیه سرقت کند

آزمایشگاه امنیتی داخلی Ledger یک آسیب‌پذیری روز صفر در کامپوننت WebView اندروید را افشا کرده است که به برنامه‌های مخرب پس‌زمینه اجازه می‌دهد عبارت بازیابی 24 کلمه‌ای را از کیف پول‌های نرم‌افزاری در کمتر از سه ثانیه استخراج کنند.

چگونه حمله کار می‌کند

این آسیب‌پذیری که توسط محققان Ledger Donjon به نام Memory-Mirror نامگذاری شده است، از یک باگ در Android System WebView، کامپوننتی که محتوای وب را درون برنامه‌ها رندر می‌کند، سوءاستفاده می‌کند. یک برنامه مخرب که در پس‌زمینه اجرا می‌شود، می‌تواند نشت حافظه‌ای را فعال کند که محتویات فضای حافظه خصوصی برنامه کیف پول را در یک کش مشترک قابل دسترسی خارج از مرز sandbox عادی منعکس می‌کند.

معماری sandboxing اندروید برای جداسازی حافظه هر برنامه از سایر برنامه‌های روی دستگاه طراحی شده است. Memory-Mirror این جداسازی را تحت شرایط خاصی که ایجاد آن‌ها دشوار نیست، دور می‌زند. اگر کاربر عبارت بازیابی خود را در هر کیف پول نرم‌افزاری وارد کند در حالی که یک برنامه آسیب‌دیده در پس‌زمینه در حال اجرا است، عبارت بازیابی از کش مشترک ظرف سه ثانیه پس از ورود قابل استخراج است. کاربر چیز غیرعادی نمی‌بیند. برنامه کیف پول به طور عادی رفتار می‌کند. عبارت بازیابی از دست رفته است.

این حمله نیاز دارد که یک برنامه مخرب از قبل روی دستگاه نصب شده باشد، که با توجه به حجم برنامه‌های متقلبانه‌ای که از فرآیندهای بررسی فروشگاه برنامه عبور می‌کنند و شیوع فایل‌های APK بارگذاری‌شده جانبی در جامعه کریپتو، مانع را به میزان قابل توجهی کاهش می‌دهد.

دامنه قرارگیری در معرض خطر

Ledger Donjon تخمین می‌زند که بیش از 70٪ دستگاه‌های اندروید که نسخه‌های 12 تا 15 را اجرا می‌کنند، بدون وصله تاییدیه امنیتی مارس 2026 آسیب‌پذیر باقی می‌مانند. گوگل عرضه این رفع مشکل را برای دستگاه‌های Pixel در 5 مارس آغاز کرد. انتظار می‌رود وصله‌های سامسونگ و شیائومی تا اواخر مارس منتشر شوند. هر دستگاه اندرویدی که نسخه build منتهی به .0326 را دریافت نکرده است، در حال حاضر آسیب‌پذیر است.

رتبه‌بندی کیف پول داغ CoinGecko که امروز زودتر منتشر شد، Trust Wallet را در رتبه یک و MetaMask را در رتبه دوم جهانی قرار داد. هر دو کیف پول به طور موقت ویژگی Import via Seed را در اندروید تا زمانی که وضعیت وصله دستگاه تأیید شود، غیرفعال کرده‌اند. Phantom در رتبه چهار همان لیست نیز به طور مشابه تحت تأثیر قرار گرفته است. سه کیف پول موبایل غیر حضانتی(امانی) محبوب در جهان عملکرد import عبارت بازیابی را در پلتفرمی که اکثریت کاربران از طریق آن به آن‌ها دسترسی دارند، تعلیق کرده‌اند.

کارهایی که باید فوراً انجام دهید

کاربران اندروید که رمزارزهای باب روز را در هر کیف پول نرم‌افزاری نگهداری می‌کنند باید فوراً به دنبال به‌روزرسانی تاییدیه امنیتی مارس 2026 باشند. به Settings بروید، سپس Security یا System، سپس Software Update، و تأیید کنید نسخه build به .0326 ختم می‌شود. اگر به‌روزرسانی هنوز از سازنده دستگاه در دسترس نیست، دستگاه را برای اهداف ورود عبارت بازیابی به عنوان آسیب‌دیده در نظر بگیرید تا زمانی که باشد.

توصیه‌های Ledger فراتر از وصله‌گذاری است. وارد کردن عبارت بازیابی در هر صفحه‌کلید موبایل روی هر کیف پول نرم‌افزاری ریسک ذاتی دارد که مستقل از Memory-Mirror وجود دارد. خود صفحه‌کلید، مدیران کلیپ‌بورد و برنامه‌های ضبط صفحه نمایش همگی وکتورهای استخراج بالقوه‌ای را نشان می‌دهند که کیف پول‌های سخت‌افزاری به طور طراحی از بین می‌برند. دستگاه‌های Ledger Nano و Stax تحت تأثیر Memory-Mirror قرار نمی‌گیرند زیرا عبارت بازیابی هرگز تراشه Secure Element دستگاه را ترک نمی‌کند و هرگز در هیچ نقطه‌ای در معرض سیستم عامل اندروید قرار نمی‌گیرد.

ویژگی محافظت از مسمومیت آدرس Trust Wallet که دیروز در این نشریه پوشش داده شد، از کاربران در برابر یک وکتور حمله در لایه تراکنش دفاع کرد. Memory-Mirror در سطح اساساً عمیق‌تری عمل می‌کند و خود عبارت بازیابی را هدف قرار می‌دهد نه یک تراکنش واحد. یک عبارت بازیابی آسیب‌دیده هر کیف پول، هر زنجیره و هر دارایی مشتق‌شده از آن را به طور دائمی به خطر می‌اندازد.

دستگاه را به‌روزرسانی کنید. عبارت بازیابی را در موبایل وارد نکنید تا زمانی که نصب وصله تأیید شود.

پست آسیب‌پذیری حیاتی اندروید می‌تواند عبارت بازیابی کریپتو شما را در 3 ثانیه بدزدد ابتدا در ETHNews ظاهر شد.