महत्वपूर्ण Android कमजोरी 3 सेकंड में आपका क्रिप्टो सीड फ्रेज चुरा सकती है

Ledger की आंतरिक सुरक्षा प्रयोगशाला ने Android के WebView घटक में एक जीरो-डे भेद्यता का खुलासा किया है जो दुर्भावनापूर्ण पृष्ठभूमि एप्लिकेशन को सॉफ्टवेयर वॉलेट से 24-शब्द रिकवरी सीड को तीन सेकंड से कम समय में निकालने की अनुमति देती है।

हमला कैसे काम करता है

Ledger Donjon शोधकर्ताओं द्वारा Memory-Mirror नाम दी गई यह भेद्यता, Android System WebView में एक बग का फायदा उठाती है, जो एप्लिकेशन के अंदर वेब सामग्री को रेंडर करने वाला घटक है। पृष्ठभूमि में चल रहा एक दुर्भावनापूर्ण ऐप मेमोरी लीक को ट्रिगर कर सकता है जो वॉलेट एप्लिकेशन की निजी मेमोरी स्पेस की सामग्री को एक साझा कैश में मिरर करता है जो सामान्य सैंडबॉक्स सीमा के बाहर सुलभ होता है।

Android की सैंडबॉक्सिंग आर्किटेक्चर को डिवाइस पर प्रत्येक एप्लिकेशन की मेमोरी को दूसरे एप्लिकेशन से अलग करने के लिए डिज़ाइन किया गया है। Memory-Mirror विशिष्ट परिस्थितियों में उस अलगाव को बायपास कर देता है जिन्हें बनाना मुश्किल नहीं है। यदि कोई उपयोगकर्ता किसी सॉफ्टवेयर वॉलेट में अपना सीड फ्रेज़ दर्ज करता है जबकि पृष्ठभूमि में एक समझौता किया गया एप्लिकेशन चल रहा है, तो सीड को प्रविष्टि के तीन सेकंड के भीतर साझा कैश से निकाला जा सकता है। उपयोगकर्ता को कुछ भी असामान्य नहीं दिखता है। वॉलेट एप्लिकेशन सामान्य रूप से व्यवहार करता है। सीड चला जाता है।

हमले के लिए डिवाइस पर पहले से ही एक दुर्भावनापूर्ण एप्लिकेशन इंस्टॉल होना आवश्यक है, जो धोखाधड़ी वाले एप्लिकेशन की मात्रा को देखते हुए बाधा को काफी कम करता है जो ऐप स्टोर समीक्षा प्रक्रियाओं से गुजरते हैं और क्रिप्टो समुदाय में साइडलोड की गई APK फ़ाइलों की व्यापकता को देखते हुए।

एक्सपोज़र का दायरा

Ledger Donjon का अनुमान है कि मार्च 2026 सुरक्षा पैच के बिना संस्करण 12 से 15 चलाने वाले 70% से अधिक Android डिवाइस असुरक्षित रहते हैं। Google ने 5 मार्च को Pixel डिवाइस के लिए फिक्स रोल आउट करना शुरू किया। Samsung और Xiaomi के पैच मार्च के अंत तक आने की उम्मीद है। हर Android डिवाइस जिसे .0326 में समाप्त होने वाला बिल्ड संस्करण नहीं मिला है, वर्तमान में संवेदनशील है।

आज पहले प्रकाशित CoinGecko हॉट वॉलेट रैंकिंग ने Trust Wallet को नंबर एक और MetaMask को विश्व स्तर पर नंबर दो पर रखा। दोनों वॉलेट ने डिवाइस पैच स्थिति की पुष्टि होने तक Android पर Import via Seed सुविधा को अस्थायी रूप से अक्षम कर दिया है। उसी सूची में नंबर चार पर Phantom भी इसी तरह प्रभावित है। दुनिया के तीन सबसे लोकप्रिय गैर-कस्टोडियल मोबाइल वॉलेट ने उस प्लेटफॉर्म पर सीड आयात कार्यक्षमता को निलंबित कर दिया है जिसके माध्यम से उनके अधिकांश उपयोगकर्ता उन्हें एक्सेस करते हैं।

तुरंत क्या करें

किसी भी सॉफ्टवेयर वॉलेट में क्रिप्टो रखने वाले Android उपयोगकर्ताओं को तुरंत मार्च 2026 सुरक्षा अपडेट की जांच करनी चाहिए। Settings पर जाएं, फिर Security या System, फिर Software Update पर जाएं, और सत्यापित करें कि बिल्ड संस्करण .0326 में समाप्त होता है। यदि डिवाइस निर्माता से अपडेट अभी तक उपलब्ध नहीं है, तो जब तक यह उपलब्ध न हो जाए, तब तक सीड प्रविष्टि उद्देश्यों के लिए डिवाइस को समझौता किया गया मानें।

Ledger की सिफारिशें पैचिंग से आगे बढ़ती हैं। किसी भी सॉफ्टवेयर वॉलेट पर किसी भी मोबाइल कीबोर्ड में रिकवरी सीड दर्ज करना अंतर्निहित जोखिम वहन करता है जो Memory-Mirror से स्वतंत्र रूप से मौजूद है। कीबोर्ड स्वयं, क्लिपबोर्ड प्रबंधक, और स्क्रीन रिकॉर्डिंग एप्लिकेशन सभी संभावित निष्कर्षण वैक्टर का प्रतिनिधित्व करते हैं जिन्हें हार्डवेयर वॉलेट डिजाइन द्वारा समाप्त करते हैं। Ledger Nano और Stax डिवाइस Memory-Mirror से अप्रभावित हैं क्योंकि सीड फ्रेज़ कभी भी डिवाइस के Secure Element चिप को नहीं छोड़ता है और किसी भी समय Android ऑपरेटिंग सिस्टम के सामने कभी भी एक्सपोज़ नहीं होता है।

कल इस प्रकाशन में कवर की गई Trust Wallet एड्रेस पॉइज़निंग प्रोटेक्शन सुविधा ने लेनदेन स्तर पर एक हमले के वेक्टर के खिलाफ उपयोगकर्ताओं की रक्षा की। Memory-Mirror मौलिक रूप से गहरे स्तर पर संचालित होता है, एकल लेनदेन के बजाय सीड को ही लक्षित करता है। एक समझौता किया गया सीड स्थायी रूप से हर वॉलेट, हर चेन, और इससे व्युत्पन्न हर संपत्ति को समझौता करता है।

डिवाइस को अपडेट करें। पैच की पुष्टि इंस्टॉल होने तक मोबाइल पर सीड फ्रेज़ दर्ज न करें।

यह पोस्ट Critical Android Vulnerability Can Steal Your Crypto Seed Phrase in 3 Seconds पहली बार ETHNews पर प्रकाशित हुई।