最近,安全人员通过测试给Nothing公司的CMF Phone 1展示了他们的发现,只用了45秒就攻破了这台手机的基本安全系统。Android Authority的新闻报道了这个惊人的发现,让我想到了一个新的安全威胁:手机在关机状态下也能被黑客入侵。这个漏洞让我们意识到,数百万联发科设备可能受到影响,黑客可以轻松窃取加密钱包密钥。通过这款手机测试证明,这种攻击无需启动安卓系统就能成功。给Ledger公司安全团队Donjon 连接一台Nothing CMF Phone 1到笔记本电脑,他们只用了45秒就把基本安全机制给破坏了。一旦黑客攻破设备的基础防线,他们就能轻易获取PIN码、解密存储数据还有提取助记词这些敏感信息。Charles Guillemet在社交平台X上提醒大家这一漏洞可能影响到数以百万计的联发科处理器设备,这些设备依赖Trustonic提供的可信执行环境(TEE)进行保护。此次漏洞被命名为CVE-2026-20435。 Donjon团队在公布漏洞前已经通知联发科公司。联发科给研究团队确认他们在2026年1月5日向厂商提供了修复方案。目前还不知道这个漏洞是否已经被黑客利用过或者具体会造成多大的影响。在这次发现之前,Donjon团队也曾在天玑7300芯片中发现过类似问题,当时联发科表示这种攻击并不属于他们设计时考虑到的威胁模型。在这次事件中,Guillemet认为消费电子产品在设计时往往偏重便利而忽视了安全性,尤其是通用处理器设计。对比来看,独立安全芯片(如Pixel手机、iPhone以及部分骁龙设备使用的安全隔区)才能真正保证数据安全。这些独立安全元件可以完全隔离敏感信息与主处理器之间的联系。Guillemet也指出这种设计可以提高设备抵御物理攻击的能力。 很多Android设备使用TEE保护敏感数据。不过TEE位于主处理器内部虽然能通过软件隔离和硬件权限实现一定程度上的保护,但它仍然属于主芯片结构的一部分。相比之下,像Titan M2、安全隔区或高通安全处理单元等独立安全元件能够从硬件层面隔离敏感数据与主处理器。AI帮助生成的IT消息也提醒我们这次事件暴露出了更深层问题:消费电子产品在设计时往往更加注重便利而忽视了安全性。AI导读给我们展示了一个明确信息:手机在关机状态下也能被黑客入侵。研究人员通过对Nothing CMF Phone 1测试发现数百万联发科设备存在漏洞,45秒就能够窃取加密钱包密钥。独立安全芯片才是真正防线。这次事件再次提醒我们需要更加关注消费电子产品的安全性问题。