Edgen Crypto·Dec 04 2025, 14:11Ledger研究人員發現安卓晶片中存在一個關鍵漏洞,允許完全控制設備,使基於智慧型手機的Web3錢包面臨物理攻擊。此漏洞凸顯了使用消費級行動裝置管理數位資產的系統性風險。
Ledger 的研究發現,安卓 智慧型手機中存在一個關鍵的硬體漏洞,允許物理攻擊者完全控制設備。此漏洞對儲存在基於智慧型手機的 Web3 錢包中的資金安全構成直接而重大的威脅。這一發現正值市場因近期安全披露而動盪不安之際,包括美國網路安全和基礎設施安全局 (CISA) 標記的其他 安卓 漏洞被積極利用,這進一步加劇了對行動裝置作為數位資產安全平台可行性的擔憂。
該漏洞位於未指定範圍的 安卓 設備的晶片組中,允許持有手機的攻擊者執行完全的設備接管。根據 Ledger 的安全研究團隊,這種級別的訪問將能夠提取敏感資料,包括儲存在基於軟體的 Web3 錢包中的私鑰。
谷歌 和 CISA 的單獨警告使這個問題更加複雜。谷歌 已確認另外兩個關鍵漏洞 CVE-2025-48633 和 CVE-2025-48572 正在“有限、有針對性地利用”中。這些漏洞可能導致遠端拒絕服務。此後,CISA 發布了一項指令,要求聯邦機構修補或停用受影響的設備,這是對所有使用者的強烈建議。三星 也承認其設備中存在其他關鍵漏洞,進一步凸顯了 安卓 生態系統中安全風險的普遍性。
這一披露直接挑戰了人們對行動裝置在金融應用中(尤其是在 Web3 領域)的信任。去中心化金融 (DeFi) 和 NFT 市場的一大部分依賴於行動錢包的便利性。此漏洞可能會引發“逃向安全”的趨勢,使用者將資產從“熱”行動錢包遷移到更安全的“冷”儲存解決方案,例如硬體錢包。該消息可能會對嚴重依賴行動優先使用者體驗的平台和應用程式產生看跌影響,因為它給最終使用者帶來了巨大的摩擦和與安全相關的疑慮。
儘管關於 Ledger 發現的直接評論尚未公開,但專家對最近類似高嚴重性漏洞的反應說明了情況的嚴重性。在討論最近的關鍵 React 漏洞時,watchTowr 執行長 Ben Harris 表示:“我們應該預期攻擊者很快就會開始利用這個漏洞。”
Rapid7 的高級首席研究員 Stephen Fewer 補充了對此類漏洞武器化速度的背景資訊:
“技術細節和漏洞利用程式碼公開的可能性很高,因此漏洞利用可能很快就會發生。因此,立即修補此漏洞至關重要。”
這種情緒反映了圍繞零日漏洞的高風險環境以及組織和使用者在廣泛攻擊開始之前必須做出反應的狹窄窗口。
這個 安卓 晶片漏洞並非孤立事件,而是基礎技術組件中發現漏洞的更廣泛趨勢的一部分。最近在廣泛使用的軟體庫(如 React)和開發者工具(如 OpenAI 的 Codex CLI)中發現的關鍵漏洞凸顯了供應鏈風險的系統性問題。這些事件表明,數位資產的攻擊面深入到使用者隱式信任的硬體和軟體堆疊中。對於 Web3 生態系統而言,它強化了安全是一個多層次問題的原則,對單一故障點(例如消費級智慧型手機)的依賴代表著資產持有者的關鍵戰略風險。