Критична вразливість Android може викрасти вашу seed-фразу криптовалюти за 3 секунди

Внутрішня лабораторія безпеки Ledger виявила вразливість нульового дня в компоненті WebView Android, яка дозволяє шкідливим фоновим застосункам витягти 24-слівну seed фразу з програмних гаманців менш ніж за три секунди.

Як працює атака

Вразливість, названа Memory-Mirror дослідниками Ledger Donjon, експлуатує помилку в Android System WebView, компоненті, який відображає веб-вміст всередині застосунків. Шкідливий застосунок, що працює у фоновому режимі, може викликати витік пам'яті, який дублює вміст приватного простору пам'яті застосунку гаманця в спільний кеш, доступний за межами звичайної межі пісочниці.

Архітектура пісочниці Android призначена для ізоляції пам'яті кожного застосунку від інших застосунків на пристрої. Memory-Mirror обходить цю ізоляцію за певних умов, які не важко створити. Якщо користувач вводить свою seed фразу в будь-який програмний гаманець, поки скомпрометований застосунок працює у фоновому режимі, seed можна витягти зі спільного кешу протягом трьох секунд після введення. Користувач не помічає нічого незвичайного. Застосунок гаманця поводиться нормально. Seed фраза втрачена.

Атака вимагає, щоб шкідливий застосунок уже був встановлений на пристрої, що значно знижує бар'єр, враховуючи кількість шахрайських застосунків, які проходять процеси перевірки магазину застосунків, і поширеність завантажених APK-файлів у криптоспільноті.

Масштаби впливу

Ledger Donjon оцінює, що понад 70% пристроїв Android з версіями від 12 до 15 залишаються вразливими без патча безпеки від березня 2026 року. Google почав розгортати виправлення для пристроїв Pixel 5 березня. Очікується, що патчі Samsung та Xiaomi будуть доступні до кінця березня. Кожен пристрій Android, який не отримав версію збірки, що закінчується на .0326, наразі вразливий.

Рейтинг гарячих гаманців CoinGecko, опублікований сьогодні раніше, поставив Trust Wallet на перше місце, а MetaMask на друге місце у світі. Обидва гаманці тимчасово відключили функцію імпорту через seed фразу на Android, доки не буде перевірено статус патча пристрою. Phantom на четвертому місці в тому ж списку також постраждав. Три найпопулярніші некастодіальні мобільні гаманці у світі призупинили функцію імпорту seed фрази на платформі, через яку більшість їхніх користувачів отримує до них доступ.

Що робити негайно

Користувачі Android, які зберігають криптовалюту в будь-якому програмному гаманці, повинні негайно перевірити наявність оновлення безпеки від березня 2026 року. Перейдіть до налаштувань, потім до розділу безпека або система, потім до оновлення програмного забезпечення та переконайтеся, що версія збірки закінчується на .0326. Якщо оновлення ще не доступне від виробника пристрою, вважайте пристрій скомпрометованим для цілей введення seed фрази, доки воно не з'явиться.

Рекомендації Ledger виходять за межі встановлення патчів. Введення seed фрази для відновлення на будь-якій мобільній клавіатурі в будь-якому програмному гаманці несе властивий ризик, який існує незалежно від Memory-Mirror. Сама клавіатура, менеджери буфера обміну та застосунки для запису екрана — усе це потенційні вектори витягування, які апаратні гаманці усувають за задумом. Пристрої Ledger Nano та Stax не постраждали від Memory-Mirror, оскільки seed фраза ніколи не залишає чіп Secure Element пристрою і ніколи не відкривається операційній системі Android у будь-який момент.

Функція захисту від отруєння адрес Trust Wallet, про яку йшлося в цій публікації вчора, захищала користувачів від одного вектора атаки на рівні транзакцій. Memory-Mirror працює на принципово глибшому рівні, націлюючись на саму seed фразу, а не на окрему транзакцію. Скомпрометована seed фраза назавжди компрометує кожен гаманець, кожен блокчейн і кожен актив, похідний від неї.

Оновіть пристрій. Не вводьте seed фрази на мобільному пристрої, доки не підтвердите встановлення патча.

Публікація критична вразливість Android може викрасти вашу криптовалютну seed фразу за 3 секунди вперше з'явилася на ETHNews.