Edgen Crypto·Dec 04 2025, 14:11Ledger研究人员发现安卓芯片中存在一个关键漏洞,允许完全控制设备,使基于智能手机的Web3钱包面临物理攻击。此漏洞凸显了使用消费级移动设备管理数字资产的系统性风险。
Ledger 的研究发现,安卓 智能手机中存在一个关键的硬件漏洞,允许物理攻击者完全控制设备。此漏洞对存储在基于智能手机的 Web3 钱包中的资金安全构成直接而重大的威胁。这一发现正值市场因近期安全披露而动荡不安之际,包括美国网络安全和基础设施安全局 (CISA) 标记的其他 安卓 漏洞被积极利用,这进一步加剧了对移动设备作为数字资产安全平台可行性的担忧。
该漏洞位于未指定范围的 安卓 设备的芯片组中,允许持有手机的攻击者执行完全的设备接管。根据 Ledger 的安全研究团队,这种级别的访问将能够提取敏感数据,包括存储在基于软件的 Web3 钱包中的私钥。
谷歌 和 CISA 的单独警告使这个问题更加复杂。谷歌 已确认另外两个关键漏洞 CVE-2025-48633 和 CVE-2025-48572 正在“有限、有针对性地利用”中。这些漏洞可能导致远程拒绝服务。此后,CISA 发布了一项指令,要求联邦机构修补或停用受影响的设备,这是对所有用户的强烈建议。三星 也承认其设备中存在其他关键漏洞,进一步凸显了 安卓 生态系统中安全风险的普遍性。
这一披露直接挑战了人们对移动设备在金融应用中(尤其是在 Web3 领域)的信任。去中心化金融 (DeFi) 和 NFT 市场的一大部分依赖于移动钱包的便利性。此漏洞可能会引发“逃向安全”的趋势,用户将资产从“热”移动钱包迁移到更安全的“冷”存储解决方案,例如硬件钱包。该消息可能会对严重依赖移动优先用户体验的平台和应用程序产生看跌影响,因为它给最终用户带来了巨大的摩擦和与安全相关的疑虑。
尽管关于 Ledger 发现的直接评论尚未公开,但专家对最近类似高严重性漏洞的反应说明了情况的严重性。在讨论最近的关键 React 漏洞时,watchTowr 首席执行官 Ben Harris 表示:“我们应该预期攻击者很快就会开始利用这个漏洞。”
Rapid7 的高级首席研究员 Stephen Fewer 补充了对此类漏洞武器化速度的背景信息:
“技术细节和漏洞利用代码公开的可能性很高,因此漏洞利用可能很快就会发生。因此,立即修补此漏洞至关重要。”
这种情绪反映了围绕零日漏洞的高风险环境以及组织和用户在广泛攻击开始之前必须做出反应的狭窄窗口。
这个 安卓 芯片漏洞并非孤立事件,而是基础技术组件中发现漏洞的更广泛趋势的一部分。最近在广泛使用的软件库(如 React)和开发者工具(如 OpenAI 的 Codex CLI)中发现的关键漏洞凸显了供应链风险的系统性问题。这些事件表明,数字资产的攻击面深入到用户隐式信任的硬件和软件堆栈中。对于 Web3 生态系统而言,它强化了安全是一个多层次问题的原则,对单一故障点(例如消费级智能手机)的依赖代表着资产持有者的关键战略风险。