Kritische Android-Sicherheitslücke kann Ihre Krypto-Seed-Phrase in 3 Sekunden stehlen

Das interne Sicherheitslabor von Ledger hat eine Zero-Day-Schwachstelle in der WebView-Komponente von Android offengelegt, die es bösartigen Hintergrundanwendungen ermöglicht, eine 24-Wörter-Wiederherstellungs-Seed-Phrase aus Software-Wallets in unter drei Sekunden zu extrahieren.

Wie der Angriff funktioniert

Die Schwachstelle, von Ledger Donjon-Forschern Memory-Mirror genannt, nutzt einen Fehler in Android System WebView aus, der Komponente, die Webinhalte innerhalb von Anwendungen darstellt. Eine bösartige App, die im Hintergrund läuft, kann ein Speicherleck auslösen, das den Inhalt des privaten Speicherbereichs einer Wallet-Anwendung in einen gemeinsamen Cache spiegelt, der außerhalb der normalen Sandbox-Grenze zugänglich ist.

Die Sandboxing-Architektur von Android ist darauf ausgelegt, den Speicher jeder Anwendung von jeder anderen Anwendung auf dem Gerät zu isolieren. Memory-Mirror umgeht diese Isolierung unter bestimmten Bedingungen, die nicht schwer zu schaffen sind. Wenn ein Benutzer seine Seed-Phrase in ein beliebiges Software-Wallet eingibt, während eine kompromittierte Anwendung im Hintergrund läuft, kann die Seed-Phrase innerhalb von drei Sekunden nach der Eingabe aus dem gemeinsamen Cache extrahiert werden. Der Benutzer sieht nichts Ungewöhnliches. Die Wallet-Anwendung verhält sich normal. Die Seed-Phrase ist weg.

Der Angriff erfordert, dass bereits eine bösartige Anwendung auf dem Gerät installiert ist, was die Hürde erheblich senkt, angesichts der Menge betrügerischer Anwendungen, die App-Store-Überprüfungsprozesse durchlaufen, und der Verbreitung von quergeladenen APK-Dateien in der Krypto-Community.

Der Umfang der Gefährdung

Ledger Donjon schätzt, dass über 70% der Android-Geräte mit den Versionen 12 bis 15 ohne den Sicherheitspatch vom März 2026 anfällig bleiben. Google begann am 05.03. mit der Bereitstellung des Fixes für Pixel-Geräte. Samsung- und Xiaomi-Patches werden bis Ende März erwartet. Jedes Android-Gerät, das keine Build-Version mit der Endung .0326 erhalten hat, ist derzeit anfällig.

Das heute früher veröffentlichte CoinGecko Hot Wallet-Ranking platzierte Trust Wallet auf Platz eins und MetaMask auf Platz zwei weltweit. Beide Wallets haben die Import-via-Seed-Funktion auf Android vorübergehend deaktiviert, bis der Patch-Status des Geräts überprüft werden kann. Phantom auf Platz vier derselben Liste ist ähnlich betroffen. Die drei beliebtesten nicht-verwahrenden mobilen Wallets der Welt haben die Seed-Import-Funktionalität auf der Plattform ausgesetzt, über die die Mehrheit ihrer Benutzer auf sie zugreift.

Was sofort zu tun ist

Android-Benutzer, die Kryptowährungen in einem beliebigen Software-Wallet halten, sollten sofort nach dem Sicherheitsupdate vom März 2026 suchen. Navigieren Sie zu Einstellungen, dann zu Sicherheit oder System, dann zu Software-Update und überprüfen Sie, ob die Build-Version mit .0326 endet. Wenn das Update vom Gerätehersteller noch nicht verfügbar ist, behandeln Sie das Gerät für Seed-Eingabezwecke als kompromittiert, bis es verfügbar ist.

Ledgers Empfehlungen gehen über das Patchen hinaus. Die Eingabe einer Wiederherstellungs-Seed-Phrase in eine beliebige mobile Tastatur auf einem beliebigen Software-Wallet birgt ein inhärentes Risiko, das unabhängig von Memory-Mirror besteht. Die Tastatur selbst, Zwischenablage-Manager und Bildschirmaufzeichnungsanwendungen stellen alle potenzielle Extraktionsvektoren dar, die Hardware-Wallets durch ihr Design eliminieren. Die Ledger Nano- und Stax-Geräte sind von Memory-Mirror nicht betroffen, da die Seed-Phrase niemals den Secure-Element-Chip des Geräts verlässt und zu keinem Zeitpunkt dem Android-Betriebssystem ausgesetzt wird.

Die Trust Wallet-Adressvergiftungsschutzfunktion, die gestern in dieser Publikation behandelt wurde, verteidigte Benutzer gegen einen Angriffsvektor auf der Transaktionsebene. Memory-Mirror operiert auf einer grundlegend tieferen Ebene und zielt auf die Seed-Phrase selbst ab, anstatt auf eine einzelne Transaktion. Eine kompromittierte Seed-Phrase kompromittiert dauerhaft jedes Wallet, jede Chain und jedes davon abgeleitete Asset.

Aktualisieren Sie das Gerät. Geben Sie keine Seed-Phrases auf mobilen Geräten ein, bis die Installation des Patches bestätigt ist.

Der Beitrag Critical Android Vulnerability Can Steal Your Crypto Seed Phrase in 3 Seconds erschien zuerst auf ETHNews.