安卓芯片漏洞威胁手机Web3钱包安全

最新消息指出，Ledger的研究人员发现了一款广泛使用的安卓智能手机处理器芯片存在漏洞，这可能会使依赖软件Web3钱包的用户在设备遭受物理攻击时面临风险。

Donjon团队发现，这一漏洞可能通过硬件故障注入绕过核心安全检查，进而控制该芯片。虽然这个问题不会影响到Ledger硬件钱包，但却凸显了仅依赖智能手机热钱包保障数字资产安全的危险性。

研究团队对台积电生产的联发科天玑7300芯片进行了检测，以确定电磁故障注入是否会破坏启动过程的早期阶段。他们利用开源工具，通过注入适时的电磁脉冲干扰芯片的启动ROM，获取其运行信息，并识别出攻击路径。

随后，他们成功绕过芯片写入命令中的过滤机制，覆盖启动ROM堆栈上的返回地址，从而在EL3（处理器的最高权限级别）执行任意代码。更令人担忧的是，这种攻击可以在几分钟内被重复进行。

Ledger警告称，即使是最先进的智能手机芯片也容易受到物理攻击，因此并不适合作为保护私钥的环境。他们再次强调，安全元件对于数字资产的独立保管至关重要。这一漏洞已在5月向联发科通报，供应商已通知受影响的制造商。