Ledger安全团队披露联发科芯片漏洞，或导致钱包助记词被盗

联发科芯片漏洞威胁加密钱包安全

2023年3月11日，全球领先的安全性硬件制造商之一，Ledger公司的安全研究团队Donjon在联发科MediaTek Dimensity 7300芯片中发现了一项严重的安全漏洞。这项发现表明，即使智能手机没有联网，攻击者仍然可以通过物理接触和USB连接，在操作系统加载前提取加密密钥并解密设备存储，进而仅需约45秒的时间就能够获取手机PIN码及加密钱包的助记词。

研究人员利用概念验证测试了这一漏洞，结果发现它成功地从Trust Wallet、Kraken Wallet和Phantom等第三方钱包应用中提取出了敏感数据。根据Donjon团队的分析，该漏洞可能影响到约25%的Android手机，这些设备采用了MediaTek芯片且集成了Trustonic可信执行环境。

Ledger公司的首席技术官Charles Guillemet对于这项发现给予了高度重视，他表示尽管智能手机的设计初衷并非作为保险库来使用，但是上述发现的漏洞依然通过补丁得以修复，但这同时也揭示了一个重要事实：即在未经过充分安全设计的设备上存储密钥存在着固有的风险。Guillemet强调用户应当立即更新其设备的最新安全补丁，以防止数据泄露的风险。

此次事件不仅对使用MediaTek芯片的Android手机用户提出了警钟，也再次提醒了加密货币领域的重要一环——加密钱包的用户们：保护好助记词，这是确保数字资产安全和私钥不被窃取的关键所在。助记词是恢复钱包、访问你的数字资产的唯一方式，一旦丢失，资产几乎等同于永久丧失。因此，用户在保管助记词时必须格外小心，不应将助记词保存在安全等级不足的设备上，更不能通过短信或者邮件的方式进行备份。

此外，该事件也引发了对移动设备安全性更深层次的思考和讨论。随着5G技术的发展以及物联网设备的普及，越来越多的个人和企业数据将在这些设备中流转。因此，提升移动设备的加密和安全性能已经成为了科技企业和用户共同的责任。

在随后的时间里，我们期望各大智能手机制造商能积极应对这一安全挑战，通过软件更新、硬件升级或新的安全协议来防范此类漏洞的再次发生。同时，作为用户的我们也应该时刻保持警惕，定期检查和更新设备的安全补丁，确保自己的数字资产不受侵害。只有这样，才能在科技快速发展的浪潮中，保护好自己的隐私和财产安全。