loading...
加密货币安全公司Ledger的研究团队在安卓生态系统广泛使用的一款智能手机处理器中发现关键安全漏洞。该漏洞使得用户面临数字资产被盗风险,尤其对使用软件Web3钱包的用户而言,若设备遭受物理接触攻击,威胁将更为显著。
研究人员在对台积电生产的联发科天玑7300芯片进行研究时,通过电磁故障注入技术成功绕过处理器的安全启动流程。攻击者可利用此漏洞禁用设备启动只读存储器中的初始安全检测,从而完全掌控处理器权限。
研究团队使用开源工具,通过在精确时间点发射电磁脉冲成功接入启动只读存储器的操作系统。随后突破芯片的写入指令过滤机制,篡改ROM堆栈中的返回地址。这种方法使攻击者能在处理器最高权限层级执行任意代码。据Ledger披露,整个攻击过程可在数分钟内复现。
该公司强调该发现不影响Ledger硬件钱包,并指出“即便是最先进的智能手机芯片也存在物理攻击风险”。Ledger表示用作热钱包的智能手机不适合存储私钥,真正安全的解决方案应配备安全元件的硬件钱包。
287
219
558
633
807
774
701
574
