详细内容或原文请订阅后点击阅览
此 Android 漏洞可在 60 秒内破坏您的锁定屏幕
研究人员展示了攻击者如何提取加密密钥、恢复 PIN 以及从受影响的设备访问敏感数据。
来源:Malwarebytes Labs 博客Android 设备中的漏洞可让攻击者在一分钟内获得对手机的访问权限。
该漏洞编号为 CVE-2026-20435,影响使用 Trustonic TEE(可信执行环境)的某些 MediaTek SoC(片上系统)。这听起来可能很少见,但据报道,这种情况大约占 Android 手机的四分之一,而且大多是更便宜的型号。
研究人员通过 USB 将易受攻击的手机连接到笔记本电脑来演示该漏洞,展示他们的漏洞如何恢复手机 PIN、解密存储以及从多个软件钱包中提取种子短语。
您可能会说,如果攻击者拿到了您的手机,您就已经遇到麻烦了。这是真的。但是,如果您的手机丢失或被盗,您所依赖的保护数据安全的方法在这里毫无帮助。
该漏洞能够在 Android 完全启动之前提取保护全磁盘加密的根密钥,然后解密存储。虽然全盘加密和锁屏应该是手机被盗或丢失时的安全网,但这些层在受影响的设备上会失败。
我的手机受到影响吗?
如果您不确定此漏洞是否影响您的移动设备,您可以在 GSMArena 等平台或供应商的网站上查找您的手机,看看它使用的是哪个 SoC,然后对照联发科技的 3 月份安全公告 CVE-2026-20435 进行交叉检查。
联发科发布了一个固件补丁,设备制造商可以将其包含在其手机的安全更新中。因此,您所能做的就是确保您已完全安装了制造商提供的最新安全更新补丁。根据补丁间隙以及您的设备处于 EOL 周期的长短,这可能需要几天到永远的时间。
EOL(生命周期终止)是指产品生命周期中制造商停止销售、营销或提供全面支持的时间点。
但显然我们能给您的最好建议是密切关注您的手机,以免它丢失或被盗。
我们不仅仅报告手机安全 - 我们还提供它