Критическая уязвимость Android может украсть вашу криптосид-фразу за 3 секунды

Внутренняя лаборатория безопасности Ledger раскрыла уязвимость нулевого дня в компоненте WebView Android, которая позволяет вредоносным фоновым приложениям извлекать мнемоническое слово из 24 слов из программных кошельков менее чем за три секунды.

Как работает атака

Уязвимость, названная Memory-Mirror исследователями Ledger Donjon, эксплуатирует ошибку в Android System WebView, компоненте, который отображает веб-контент внутри приложений. Вредоносное приложение, работающее в фоновом режиме, может вызвать утечку памяти, которая копирует содержимое частного пространства памяти приложения кошелька в общий кэш, доступный за пределами обычной границы песочницы.

Архитектура песочницы Android разработана для изоляции памяти каждого приложения от других приложений на устройстве. Memory-Mirror обходит эту изоляцию при определенных условиях, которые несложно создать. Если пользователь вводит своё мнемоническое слово в любой программный кошелёк, пока скомпрометированное приложение работает в фоновом режиме, мнемоническое слово извлекается из общего кэша в течение трех секунд после ввода. Пользователь не видит ничего необычного. Приложение кошелька ведет себя нормально. Мнемоническое слово утеряно.

Атака требует, чтобы вредоносное приложение уже было установлено на устройстве, что значительно снижает барьер, учитывая количество мошеннических приложений, проходящих через процессы проверки магазинов приложений, и распространенность загруженных APK-файлов в криптосообществе.

Масштаб уязвимости

Ledger Donjon оценивает, что более 70% устройств Android с версиями от 12 до 15 остаются уязвимыми без патча безопасности от марта 2026 года. Google начал развертывание исправления на устройства Pixel 5 марта. Патчи для Samsung и Xiaomi ожидаются к концу марта. Каждое устройство Android, которое не получило версию сборки, заканчивающуюся на .0326, в настоящее время уязвимо.

Рейтинг горячих кошельков CoinGecko, опубликованный сегодня, поместил Trust Wallet на первое место, а MetaMask на второе место в мире. Оба кошелька временно отключили функцию импорта через мнемоническое слово на Android до тех пор, пока не будет проверен статус патча устройства. Phantom на четвертом месте в том же списке также затронут. Три самых популярных мобильных кошелька без кастодиана в мире приостановили функцию импорта мнемонического слова на платформе, через которую большинство их пользователей получают к ним доступ.

Что делать немедленно

Пользователи Android, хранящие криптовалюту в любом программном кошельке, должны немедленно проверить наличие обновления безопасности от марта 2026 года. Перейдите в настройки, затем в раздел безопасности или системы, затем в обновление программного обеспечения и убедитесь, что версия сборки заканчивается на .0326. Если обновление еще не доступно от производителя устройства, считайте устройство скомпрометированным для целей ввода мнемонического слова до тех пор, пока оно не будет установлено.

Рекомендации Ledger выходят за рамки установки патчей. Ввод мнемонического слова на любой мобильной клавиатуре в любом программном кошельке несет внутренний риск, который существует независимо от Memory-Mirror. Сама клавиатура, менеджеры буфера обмена и приложения для записи экрана представляют собой потенциальные векторы извлечения, которые аппаратные кошельки устраняют по своей конструкции. Устройства Ledger Nano и Stax не подвержены влиянию Memory-Mirror, потому что мнемоническое слово никогда не покидает чип Secure Element устройства и никогда не раскрывается операционной системе Android ни в какой момент.

Функция защиты от подмены адреса Trust Wallet, рассмотренная в этой публикации вчера, защитила пользователей от одного вектора атаки на уровне транзакций. Memory-Mirror работает на принципиально более глубоком уровне, нацеливаясь на само мнемоническое слово, а не на одну транзакцию. Скомпрометированное мнемоническое слово навсегда компрометирует каждый кошелёк, каждую цепь и каждый актив, полученный из него.

Обновите устройство. Не вводите мнемонические слова на мобильном устройстве до подтверждения установки патча.

Пост Критическая уязвимость Android может украсть ваше криптографическое мнемоническое слово за 3 секунды впервые появился на ETHNews.