Ledger研究人员发现某安卓芯片存在漏洞，使手机Web3钱包面临物理攻击风险

币大师 12月4日消息，据The Block报道，Ledger称，近期在一款广泛使用的安卓智能手机处理器芯片中发现漏洞，依赖软件Web3钱包的用户，若设备被攻击者物理接触将面临风险。其Donjon团队发现，硬件故障注入可绕过核心安全检查从而控制该芯片。虽然这一发现不会影响Ledger硬件钱包，但凸显了仅依靠智能手机热钱包保障数字资产安全的危险性。 该团队对台积电生产的联发科天玑7300芯片进行检测，着手确定电磁故障注入是否会破坏启动过程的最早阶段。他们利用开源工具，通过注入适时电磁脉冲干扰芯片的启动ROM，获取其运行信息，进而识别出攻击路径。随后，团队绕过芯片写入命令中的过滤机制、覆盖启动ROM堆栈上的返回地址，得以在EL3（处理器的最高权限级别）运行任意代码，且该攻击可在几分钟内重复进行。Ledger表示，即便最先进的智能手机芯片也易受物理攻击，不适合作为保护私钥的环境，并重申安全元件对于数字资产自主保管至关重要。该漏洞已于5月告知联发科，供应商已通知受影响的制造商。