本文《Ledger揭露针对加密货币助记词的Android漏洞》首次发表于Coinpedia Fintech News
Ledger的Donjon研究团队在MediaTek处理器(通常用于Android手机)中发现了安全漏洞,该漏洞允许恶意行为者在几秒钟内窃取用户的手机密码和加密货币助记词。据称,即使设备关机时也会发生这种攻击。
该团队进行了概念验证测试,成功获取了多个软件(即热)加密钱包的敏感信息。受害者包括Trust Wallet、Kraken Wallet和Phantom。
Android操作系统上的加密货币盗窃
Ledger硬件钱包公司首席技术官Charles Guillemet指出,这一事件"提醒我们智能手机并非为安全而设计"。
Guillemet补充说,由于经济和可用性因素,Android手机在全球占据主导地位,这可能影响了"数百万"部Android手机。
报告发布后,MediaTek采取行动修复了该漏洞,而Trust Wallet则推出了一项新的安全功能,以防止加密地址被篡改。
哪种存储方式安全?
硬件/冷钱包,如Ledger和Trezor,因其相较于软件钱包为加密货币提供更好的安全性而赢得声誉。这是因为它们使用与手机主处理器分离的芯片。
尽管如此,热钱包在全球的使用率达到78%,由于其成本效益和易用性,成为加密货币持有者的主导选择。
即便如此,冷存储用户仍通过社交工程、供应链篡改、物理设备提取和明显的疏忽大意而成为加密货币盗窃的受害者。
后者的一个很好的例子是韩国税务局,他们不小心公布了被扣押的加密硬件钱包的助记词。暴力或扳手攻击的一个例子是最近法国夫妇被抢劫近100万美元Bitcoin的案件。
至于操作系统,iOS用户也未能完全幸免,Coruna漏洞在较旧的iOS版本上挖掘敏感的加密货币信息。
在运行节点时,用户密钥仍可能被窃取,因此多重签名钱包可能是存储加密货币最"防火"的方法之一。
来源: https://coinpedia.org/news/ledger-reveals-android-flaw-targeting-crypto-seed-phrases/
