MediaTek芯片安全启动链现重大漏洞

近日,加密钱包硬件制造商Ledger旗下的安全研究团队Donjon披露,MediaTek处理器在安全启动链中存在可被利用的缺陷。该漏洞允许攻击者在物理接触目标设备的情况下,通过标准USB连接,在操作系统加载前提取加密密钥,进而解密设备存储内容。

漏洞实测成功获取钱包敏感信息

概念验证测试显示,攻击者可在约45秒内完成密钥提取,并成功从Trust Wallet、某交易所钱包应用及Phantom等主流数字资产钱包中获取用户PIN码与助记词。这一过程无需远程操作,仅需直接连接设备,表明其威胁等级较高。

影响范围广泛 或波及大量安卓设备

研究人员指出,该漏洞可能影响约25%的现有Android手机,主要集中在搭载MediaTek芯片并采用Trustonic可信执行环境(TEE)的机型。由于此类架构普遍用于中高端及部分入门级设备,潜在受影响用户数量庞大。

专家警示:智能手机非理想密钥存储介质

Ledger首席技术官Charles Guillemet强调,智能手机自设计之初并非为高安全性资产存储而生。尽管该漏洞可通过系统补丁修复,但其暴露了在非专用安全设备上长期保存加密密钥的内在风险。他建议用户立即检查并安装官方发布的安全更新,以降低数据泄露可能性。