根据加密货币硬件钱包制造商 Ledger 的新研究，某些使用联发科技处理器的安卓智能手机存在漏洞，攻击者可以仅通过 USB 连接在不到一分钟的时间内提取加密的用户数据。

Ledger的内部安全研究团队Donjon发现，白帽黑客能够通过将一部 Nothing CMF Phone 1 连接到笔记本电脑，在不到45秒的时间内破坏该设备的安全性。

“Donjon再次出击，发现了一个潜在影响数百万安卓手机的联发科技漏洞。这再次提醒我们，智能手机并不是为安全而设计的，”Ledger首席技术官Charles Guillemet在X上写道。“即使在关闭状态下，用户数据——包括 PIN 码和 [种子短语]——也可以在不到一分钟的时间内被提取。”

Donjon团队报告称，他们能够恢复Nothing CMF Phone 1的 PIN，解密其存储，并从多个加密钱包中提取种子短语，而无需启动安卓系统，这些钱包包括Trust Wallet、Base、Kraken Wallet、Rabby、Tangem的移动钱包和Phantom。

由位于伦敦的Nothing于2024年发布的Nothing CMF Phone 1 是一款低成本和模块化可定制的手机，运行安卓操作系统。Donjon表示，该漏洞针对手机的安全启动链，允许攻击者通过USB连接并在操作系统加载之前提取根加密密钥，从而使设备的存储可以离线解密。

根据Chainalysis2025年7月的报告，个人钱包遭到攻击的情况在总加密货币盗窃中占比不断增加，攻击者越来越多地针对个人用户，在2025年YTD中，占所有被盗资金活动的23.35%。

Ledger表示，Donjon团队在分析安卓的闪存加密安全性时发现了该漏洞。该公司根据90天的负责任披露政策向联发科技和Trustonic披露了该漏洞，该漏洞已于本月早些时候被联发科技公开披露。



其他使用联发科技芯片的设备包括以加密为中心的 Solana Seeker，以及来自三星、摩托罗拉、小米、POCO、Realme、Vivo、OPPO、Tecno 和 iQOO 等品牌的智能手机。但是，目前尚不清楚除了Nothing CMF Phone 1之外，还有哪些手机可能易受该漏洞的影响。

尽管演示集中在加密钱包上，但Donjon表示，这一曝光可能会扩展到存储在设备上的其他敏感信息，包括消息、照片、财务信息和账户凭据。

加密钱包通常有两种类型：软件钱包和硬件钱包，用于存储私钥，使用户能够访问其数字资产。软件或热钱包旨在用于移动设备，而物理硬件钱包则设计用于与桌面或笔记本电脑一起使用。这些钱包，如Ledger Nano S，可以从计算机中移除以提高安全性。

然而，与硬件钱包相比，软件钱包更易于访问，通常可以免费下载和使用，后者的价格各不相同。然而，Guillemet表示，单纯使用软件的方法存在权衡，并强调了“通用”手机芯片与专为私钥保护设计的芯片之间的根本架构差异。

“通用芯片是为了便利而设计的，”他写道。“安全元件是为了密钥保护而构建的。专用安全元件将秘密与系统的其余部分隔离，即使在物理攻击下也能保护它们。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。