Lỗ hổng nghiêm trọng trên Android có thể đánh cắp cụm từ khôi phục ví tiền mã hoá của bạn trong 3 giây

Phòng thí nghiệm bảo mật nội bộ của Ledger đã tiết lộ lỗ hổng zero-day trong thành phần WebView của Android cho phép các ứng dụng nền độc hại trích xuất cụm từ khóa phục hồi 24 từ từ ví phần mềm trong vòng chưa đầy ba giây.

Cách Thức Hoạt Động Của Cuộc Tấn Công

Lỗ hổng này, được đặt tên là Memory-Mirror bởi các nhà nghiên cứu Ledger Donjon, khai thác lỗi trong Android System WebView, thành phần hiển thị nội dung web bên trong các ứng dụng. Một ứng dụng độc hại chạy nền có thể kích hoạt rò rỉ bộ nhớ sao chép nội dung không gian bộ nhớ riêng của ứng dụng ví vào bộ nhớ đệm chia sẻ có thể truy cập bên ngoài ranh giới sandbox thông thường.

Kiến trúc sandbox của Android được thiết kế để cách ly bộ nhớ của mỗi ứng dụng khỏi các ứng dụng khác trên thiết bị. Memory-Mirror vượt qua sự cách ly đó trong các điều kiện cụ thể không khó tạo ra. Nếu người dùng nhập cụm từ khóa của họ vào bất kỳ ví phần mềm nào trong khi một ứng dụng bị xâm nhập đang chạy nền, cụm từ khóa có thể được trích xuất từ bộ nhớ đệm chia sẻ trong vòng ba giây sau khi nhập. Người dùng không thấy gì bất thường. Ứng dụng ví hoạt động bình thường. Cụm từ khóa đã biến mất.

Cuộc tấn công yêu cầu một ứng dụng độc hại đã được cài đặt trên thiết bị, điều này làm giảm đáng kể rào cản do khối lượng lớn các ứng dụng gian lận vượt qua quy trình xem xét của cửa hàng ứng dụng và sự phổ biến của các tệp APK cài đặt thủ công trong cộng đồng tiền mã hóa.

Phạm Vi Ảnh Hưởng

Ledger Donjon ước tính rằng hơn 70% thiết bị Android chạy phiên bản 12 đến 15 vẫn dễ bị tổn thương nếu không có bản vá bảo mật tháng 3 năm 2026. Google bắt đầu triển khai bản sửa lỗi cho thiết bị Pixel vào ngày 5 tháng 3. Các bản vá của Samsung và Xiaomi dự kiến vào cuối tháng 3. Mọi thiết bị Android chưa nhận được phiên bản build kết thúc bằng .0326 hiện đang dễ bị tổn thương.

Bảng xếp hạng ví nóng của CoinGecko được công bố sớm hôm nay đặt Trust Wallet ở vị trí số một và MetaMask ở vị trí số hai toàn cầu. Cả hai ví đã tạm thời vô hiệu hóa tính năng Nhập qua Seed trên Android cho đến khi có thể xác minh trạng thái bản vá thiết bị. Phantom ở vị trí thứ tư trong cùng danh sách cũng bị ảnh hưởng tương tự. Ba ví di động phi giám sát phổ biến nhất trên thế giới đã tạm ngưng chức năng nhập cụm từ khóa trên nền tảng mà phần lớn người dùng của họ truy cập.

Cần Làm Gì Ngay Lập Tức

Người dùng Android nắm giữ tiền mã hóa trong bất kỳ ví phần mềm nào nên kiểm tra bản cập nhật bảo mật tháng 3 năm 2026 ngay lập tức. Điều hướng đến Cài đặt, sau đó Bảo mật hoặc Hệ thống, sau đó Cập nhật Phần mềm, và xác minh phiên bản build kết thúc bằng .0326. Nếu bản cập nhật chưa có sẵn từ nhà sản xuất thiết bị, hãy coi thiết bị đã bị xâm nhập cho mục đích nhập cụm từ khóa cho đến khi có bản cập nhật.

Các khuyến nghị của Ledger vượt xa việc vá lỗi. Việc nhập cụm từ khóa phục hồi vào bất kỳ bàn phím di động nào trên bất kỳ ví phần mềm nào đều mang rủi ro cố hữu tồn tại độc lập với Memory-Mirror. Bản thân bàn phím, trình quản lý clipboard và ứng dụng ghi màn hình đều đại diện cho các vector trích xuất tiềm năng mà ví cứng loại bỏ theo thiết kế. Các thiết bị Ledger Nano và Stax không bị ảnh hưởng bởi Memory-Mirror vì cụm từ khóa không bao giờ rời khỏi chip Secure Element của thiết bị và không bao giờ bị lộ ra hệ điều hành Android tại bất kỳ thời điểm nào.

Tính năng bảo vệ đầu độc địa chỉ của Trust Wallet được đề cập trong ấn phẩm này ngày hôm qua đã bảo vệ người dùng khỏi một vector tấn công ở lớp giao dịch. Memory-Mirror hoạt động ở cấp độ sâu hơn về cơ bản, nhắm mục tiêu vào chính cụm từ khóa thay vì một giao dịch đơn lẻ. Một cụm từ khóa bị xâm nhập sẽ xâm nhập mọi ví, mọi chuỗi và mọi tài sản xuất phát từ nó vĩnh viễn.

Cập nhật thiết bị. Không nhập cụm từ khóa trên di động cho đến khi xác nhận bản vá đã được cài đặt.

Bài viết Lỗ hổng Android nghiêm trọng có thể đánh cắp cụm từ khóa Crypto của bạn trong 3 giây xuất hiện đầu tiên trên ETHNews.