Kerentanan Kritis Android Dapat Mencuri Seed Phrase Kripto Anda dalam 3 Detik

Lab keamanan internal Ledger telah mengungkapkan kerentanan zero-day pada komponen WebView Android yang memungkinkan aplikasi berbahaya di latar belakang mengekstrak seed pemulihan 24 kata dari dompet perangkat lunak dalam waktu kurang dari tiga detik.

Cara Kerja Serangan

Kerentanan ini, dinamakan Memory-Mirror oleh peneliti Ledger Donjon, mengeksploitasi bug di Android System WebView, komponen yang merender konten web di dalam aplikasi. Aplikasi berbahaya yang berjalan di latar belakang dapat memicu kebocoran memori yang mencerminkan isi ruang memori pribadi aplikasi dompet ke dalam cache bersama yang dapat diakses di luar batas sandbox normal.

Arsitektur sandboxing Android dirancang untuk mengisolasi memori setiap aplikasi dari aplikasi lain di perangkat. Memory-Mirror melewati isolasi tersebut dalam kondisi tertentu yang tidak sulit dibuat. Jika pengguna memasukkan seed phrase mereka ke dompet perangkat lunak mana pun saat aplikasi yang disusupi berjalan di latar belakang, seed dapat diekstrak dari cache bersama dalam waktu tiga detik setelah entri. Pengguna tidak melihat sesuatu yang tidak biasa. Aplikasi dompet berperilaku normal. Seed telah hilang.

Serangan ini memerlukan aplikasi berbahaya yang sudah terpasang di perangkat, yang menurunkan hambatan secara signifikan mengingat volume aplikasi palsu yang lolos dari proses peninjauan app store dan prevalensi file APK yang di-sideload di komunitas kripto.

Cakupan Eksposur

Ledger Donjon memperkirakan bahwa lebih dari 70% perangkat Android yang menjalankan versi 12 hingga 15 tetap rentan tanpa patch keamanan Maret 2026. Google mulai meluncurkan perbaikan ke perangkat Pixel pada 5 Maret. Patch Samsung dan Xiaomi diharapkan pada akhir Maret. Setiap perangkat Android yang belum menerima versi build yang berakhiran .0326 saat ini rentan.

Peringkat hot wallet CoinGecko yang dipublikasikan hari ini menempatkan Trust Wallet di nomor satu dan MetaMask di nomor dua secara global. Kedua dompet telah menonaktifkan sementara fitur Import via Seed di Android hingga status patch perangkat dapat diverifikasi. Phantom di nomor empat pada daftar yang sama juga terdampak. Tiga dompet mobile non-custodial paling populer di dunia telah menangguhkan fungsionalitas impor seed pada platform yang digunakan mayoritas pengguna mereka.

Apa yang Harus Dilakukan Segera

Pengguna Android yang menyimpan kripto di dompet perangkat lunak mana pun harus segera memeriksa pembaruan keamanan Maret 2026. Navigasi ke Settings, lalu Security atau System, lalu Software Update, dan verifikasi bahwa versi build berakhiran .0326. Jika pembaruan belum tersedia dari produsen perangkat, perlakukan perangkat sebagai tersusupi untuk tujuan entri seed sampai tersedia.

Rekomendasi Ledger melampaui patching. Memasukkan seed pemulihan ke keyboard mobile mana pun pada dompet perangkat lunak apa pun membawa risiko inheren yang ada secara independen dari Memory-Mirror. Keyboard itu sendiri, clipboard manager, dan aplikasi perekam layar semuanya mewakili vektor ekstraksi potensial yang dihilangkan oleh hardware wallet secara desain. Perangkat Ledger Nano dan Stax tidak terpengaruh oleh Memory-Mirror karena seed phrase tidak pernah meninggalkan chip Secure Element perangkat dan tidak pernah terekspos ke sistem operasi Android pada titik mana pun.

Fitur perlindungan address poisoning Trust Wallet yang dibahas dalam publikasi ini kemarin melindungi pengguna dari satu vektor serangan di lapisan transaksi. Memory-Mirror beroperasi pada tingkat yang secara fundamental lebih dalam, menargetkan seed itu sendiri daripada transaksi tunggal. Seed yang tersusupi mengompromikan setiap dompet, setiap chain, dan setiap aset yang diturunkan darinya secara permanen.

Perbarui perangkat. Jangan masukkan seed phrase di mobile hingga patch dikonfirmasi terpasang.

Postingan Kerentanan Android Kritis Dapat Mencuri Seed Phrase Kripto Anda dalam 3 Detik muncul pertama kali di ETHNews.