Kritieke Android-kwetsbaarheid kan je crypto-seed-phrase in 3 seconden stelen

Het interne beveiligingslaboratorium van Ledger heeft een zero-day kwetsbaarheid onthuld in het WebView-component van Android waarmee kwaadaardige achtergrondapplicaties een 24-woords herstelzin uit software wallets kunnen extraheren in minder dan drie seconden.

Hoe de aanval werkt

De kwetsbaarheid, genaamd Memory-Mirror door onderzoekers van Ledger Donjon, maakt misbruik van een bug in Android System WebView, het component dat webinhoud weergeeft binnen applicaties. Een kwaadaardige app die op de achtergrond draait, kan een geheugenlek veroorzaken dat de inhoud van de privégeheugenruimte van een walletapplicatie spiegelt naar een gedeelde cache die toegankelijk is buiten de normale sandboxgrens.

De sandboxarchitectuur van Android is ontworpen om het geheugen van elke applicatie te isoleren van elke andere applicatie op het apparaat. Memory-Mirror omzeilt die isolatie onder specifieke omstandigheden die niet moeilijk te creëren zijn. Als een gebruiker zijn herstelzin invoert in een software wallet terwijl een gecompromitteerde applicatie op de achtergrond draait, is de zin binnen drie seconden na invoer te extraheren uit de gedeelde cache. De gebruiker ziet niets ongewoons. De walletapplicatie gedraagt zich normaal. De herstelzin is weg.

De aanval vereist dat er al een kwaadaardige applicatie op het apparaat is geïnstalleerd, wat de drempel aanzienlijk verlaagt gezien het aantal frauduleuze applicaties dat door app store-beoordelingsprocessen komt en de prevalentie van sideloaded APK-bestanden in de cryptogemeenschap.

De omvang van de blootstelling

Ledger Donjon schat dat meer dan 70% van de Android-apparaten met versies 12 tot en met 15 kwetsbaar blijft zonder de beveiligingspatch van maart 2026. Google begon op 5 maart met het uitrollen van de fix naar Pixel-apparaten. Samsung- en Xiaomi-patches worden eind maart verwacht. Elk Android-apparaat dat geen buildversie heeft ontvangen die eindigt op .0326 is momenteel vatbaar.

De CoinGecko hot wallet-ranking die eerder vandaag werd gepubliceerd, plaatste Trust Wallet op nummer één en MetaMask op nummer twee wereldwijd. Beide wallets hebben de Import via Seed-functie op Android tijdelijk uitgeschakeld totdat de patchstatus van het apparaat kan worden geverifieerd. Phantom op nummer vier op dezelfde lijst is op vergelijkbare wijze getroffen. De drie populairste non-custodial mobiele wallets ter wereld hebben de seed-importfunctionaliteit opgeschort op het platform waarmee het merendeel van hun gebruikers er toegang toe heeft.

Wat onmiddellijk te doen

Android-gebruikers die crypto aanhouden in een software wallet moeten onmiddellijk controleren op de beveiligingsupdate van maart 2026. Navigeer naar Instellingen, vervolgens Beveiliging of Systeem, vervolgens Software-update en verifieer dat de buildversie eindigt op .0326. Als de update nog niet beschikbaar is bij de apparaatfabrikant, behandel het apparaat dan als gecompromitteerd voor het invoeren van seeds totdat dit het geval is.

De aanbevelingen van Ledger gaan verder dan patchen. Het invoeren van een herstelzin in een mobiel toetsenbord op een software wallet brengt inherente risico's met zich mee die onafhankelijk van Memory-Mirror bestaan. Het toetsenbord zelf, klembeheerders en schermpnameapplicaties vertegenwoordigen allemaal potentiële extractievectoren die hardware wallets bij ontwerp elimineren. De Ledger Nano- en Stax-apparaten worden niet beïnvloed door Memory-Mirror omdat de herstelzin het Secure Element-chipapparaat nooit verlaat en op geen enkel moment wordt blootgesteld aan het Android-besturingssysteem.

De Trust Wallet-adresvergiftigingsbeschermingsfunctie die gisteren in deze publicatie werd behandeld, verdedigde gebruikers tegen één aanvalsvektor op transactieniveau. Memory-Mirror werkt op een fundamenteel dieper niveau en richt zich op de seed zelf in plaats van op een enkele transactie. Een gecompromitteerde seed compromitteert elke wallet, elke chain en elk actief dat ervan is afgeleid, permanent.

Update het apparaat. Voer geen herstelzinnen in op mobiel totdat is bevestigd dat de patch is geïnstalleerd.

Het bericht Kritieke Android-kwetsbaarheid kan je crypto-herstelzin in 3 seconden stelen verscheen eerst op ETHNews.