▲手機晶片爆安全漏洞,未開機也可能遭破解。(圖/取自免費圖庫Pexels)
資安研究人員近日揭露一項影響多款 Android 手機的安全漏洞。研究指出,部分採用聯發科(MediaTek)處理器的裝置即使 尚未開機或 Android 系統尚未啟動,攻擊者仍可能透過電腦連接,在短時間內取得裝置內的敏感資料,潛在影響數百萬用戶。
研究團隊 45 秒取得手機存取權
這項漏洞由加密硬體錢包公司 Ledger 旗下的硬體安全研究團隊 Donjon 發現。研究人員以 Nothing 旗下 CMF Phone 1 作為示範裝置,該手機搭載聯發科 Dimensity 7300 處理器。研究顯示,透過特定攻擊方式,研究人員在 約 45 秒內便成功取得手機存取權。
研究指出,漏洞可讓攻擊者在系統尚未啟動 Android 之前,就突破裝置的安全防護。若被利用,駭客可能取得手機 PIN 碼、解密裝置儲存資料,甚至擷取加密貨幣錢包的 Seed Phrase(助記詞,可視為錢包的主密碼) 等敏感資訊。
利用開機流程弱點發動攻擊
研究團隊表示,這次攻擊利用的是 Android 裝置 開機流程(boot chain) 中的弱點。在系統尚未完全啟動前,安全保護機制仍有可能被繞過。
在示範實驗中,研究人員只需將 Nothing CMF Phone 1 透過 USB 連接到筆電,即可發動攻擊。整個過程不需要安裝惡意程式,也不需要操作手機畫面,更不需要使用者進行任何互動。
漏洞可能影響多品牌 Android 手機
研究更指出,這項漏洞可能影響 數百萬台搭載聯發科處理器的 Android 裝置,尤其是使用 Trustonic Trusted Execution Environment(TEE,可信執行環境) 的設備。
TEE 是處理器內的一個隔離區域,主要用來儲存與處理敏感資料,例如指紋資訊、行動支付憑證與安全認證資料。雖然在軟體層面與系統隔離,但其實仍整合在主處理器之中,因此在某些情況下仍可能受到硬體層級攻擊。
聯發科公布的安全公告顯示,受影響晶片可能被多個手機品牌採用,包括 Samsung、OPPO、vivo、OnePlus 等,因此影響範圍可能相當廣泛。
聯發科已發布修補更新
目前尚不清楚這個漏洞是否曾被惡意駭客實際利用。聯發科表示,已在 2026 年 1 月 向手機製造商提供修補程式,相關修補通常會透過手機系統更新推送。
對使用者而言,最重要的防護措施仍是「定期安裝手機最新系統更新」,確保裝置已套用最新安全修補,以降低潛在風險。
讀者迴響