Une vulnérabilité critique d'Android peut voler votre phrase de récupération crypto en 3 secondes

Le laboratoire de sécurité interne de Ledger a révélé une vulnérabilité zero-day dans le composant WebView d'Android qui permet à des applications malveillantes en arrière-plan d'extraire une seed phrase de récupération de 24 mots des portefeuilles logiciels en moins de trois secondes.

Comment fonctionne l'attaque

La vulnérabilité, nommée Memory-Mirror par les chercheurs de Ledger Donjon, exploite un bug dans Android System WebView, le composant qui affiche le contenu web dans les applications. Une application malveillante s'exécutant en arrière-plan peut déclencher une fuite de mémoire qui reflète le contenu de l'espace mémoire privé d'une application de portefeuille dans un cache partagé accessible en dehors de la limite normale du sandbox.

L'architecture de sandboxing d'Android est conçue pour isoler la mémoire de chaque application de toutes les autres applications sur l'appareil. Memory-Mirror contourne cet isolement dans des conditions spécifiques qui ne sont pas difficiles à créer. Si un utilisateur entre sa seed phrase dans n'importe quel portefeuille logiciel pendant qu'une application compromise s'exécute en arrière-plan, la seed peut être extraite du cache partagé dans les trois secondes suivant la saisie. L'utilisateur ne voit rien d'inhabituel. L'application de portefeuille fonctionne normalement. La seed a disparu.

L'attaque nécessite qu'une application malveillante soit déjà installée sur l'appareil, ce qui abaisse considérablement la barrière étant donné le volume d'applications frauduleuses qui passent les processus de révision des app stores et la prévalence des fichiers APK chargés latéralement dans la communauté crypto.

L'étendue de l'exposition

Ledger Donjon estime que plus de 70 % des appareils Android exécutant les versions 12 à 15 restent vulnérables sans le correctif de sécurité de mars 2026. Google a commencé à déployer le correctif sur les appareils Pixel le 5 mars. Les correctifs Samsung et Xiaomi sont attendus fin mars. Chaque appareil Android qui n'a pas reçu une version de build se terminant par .0326 est actuellement susceptible.

Le classement des portefeuilles chauds de CoinGecko publié plus tôt aujourd'hui a placé Trust Wallet au numéro un et MetaMask au numéro deux dans le monde. Les deux portefeuilles ont temporairement désactivé la fonction d'importation via Seed sur Android jusqu'à ce que l'état du correctif de l'appareil puisse être vérifié. Phantom, au numéro quatre de la même liste, est également affecté. Les trois portefeuilles mobiles non-custodial les plus populaires au monde ont suspendu la fonctionnalité d'importation de seed phrase sur la plateforme par laquelle la majorité de leurs utilisateurs y accèdent.

Que faire immédiatement

Les utilisateurs Android détenant des cryptomonnaies dans n'importe quel portefeuille logiciel doivent vérifier immédiatement la mise à jour de sécurité de mars 2026. Accédez aux Paramètres, puis Sécurité ou Système, puis Mise à jour logicielle, et vérifiez que la version de build se termine par .0326. Si la mise à jour n'est pas encore disponible auprès du fabricant de l'appareil, traitez l'appareil comme compromis aux fins de saisie de seed phrase jusqu'à ce qu'elle le soit.

Les recommandations de Ledger vont au-delà du correctif. Entrer une seed phrase de récupération sur n'importe quel clavier mobile sur n'importe quel portefeuille logiciel comporte un risque inhérent qui existe indépendamment de Memory-Mirror. Le clavier lui-même, les gestionnaires de presse-papiers et les applications d'enregistrement d'écran représentent tous des vecteurs d'extraction potentiels que les portefeuilles matériels éliminent par conception. Les appareils Ledger Nano et Stax ne sont pas affectés par Memory-Mirror car la seed phrase ne quitte jamais la puce Secure Element de l'appareil et n'est jamais exposée au système d'exploitation Android à aucun moment.

La fonction de protection contre l'empoisonnement d'adresse de Trust Wallet couverte dans cette publication hier a défendu les utilisateurs contre un vecteur d'attaque au niveau de la transaction. Memory-Mirror opère à un niveau fondamentalement plus profond, ciblant la seed elle-même plutôt qu'une seule transaction. Une seed compromise compromet définitivement chaque portefeuille, chaque chaîne et chaque actif qui en est dérivé.

Mettez à jour l'appareil. N'entrez pas de seed phrases sur mobile jusqu'à ce que l'installation du correctif soit confirmée.

L'article Une vulnérabilité critique d'Android peut voler votre seed phrase crypto en 3 secondes est apparu en premier sur ETHNews.