德国安全资讯平台boerse-global.de于2026年3月25日发布警示,指出联发科(MediaTek)芯片组中存在一处严重安全漏洞,编号为CVE-2026-20435。该漏洞允许攻击者在不到一分钟内访问智能手机的加密数据,即便设备处于关机状态也能实施攻击。据估算,全球约有8.75亿台安卓智能手机面临此风险。
该漏洞深植于芯片的安全启动链(Secure Boot Chain)中。攻击者仅需通过简单的USB接口连接,即可提取用于保护全盘加密的Root密钥。关键在于,此攻击发生在Android操作系统启动之前,此时系统的安全防护机制尚未激活。安全研究人员在演示中证实,利用该漏洞可在45至60秒内破解设备,无需解锁密码,且设备无需处于开机状态。
由于联发科是全球最大的智能手机芯片供应商之一,其市场份额巨大,导致此次漏洞影响范围极广。全球约四分之一的安卓设备可能受到波及,尤其是三星、小米、OPPO和一加等品牌的中低端机型。这些设备普遍采用联发科芯片并依赖Trustonic的受信任执行环境(TEE)。值得注意的是,谷歌Pixel系列手机因使用独立的安全芯片,暂未受此漏洞影响。
联发科已于2026年1月初向设备制造商发布了修复补丁。官方发布的2026年3月Android安全公告明确指出,安装安全补丁级别为2026年3月5日或更高版本的系统即可修复该漏洞。对于普通用户而言,最关键的应对措施是立即检查并安装所有可用的系统和安全更新。
尽管定期更新至关重要,但安全专家建议用户还需采取额外措施。例如,切勿将加密货币钱包的助记词或主密码等敏感信息以明文形式存储在手机上。同时,保持对设备物理安全的警惕,防止设备被盗或遭未授权访问,依然是基础且必要的防护手段。
此次事件凸显了硬件安全层面的严峻挑战:一旦启动阶段的硬件安全被突破,软件层面的加密和屏幕锁将形同虚设。联发科快速响应并发布补丁值得肯定,但真正的考验在于设备制造商能否将更新迅速推送到全球数百万用户手中。未来几周将是检验更新分发效率的关键期,也再次提醒用户,数字安全是一个动态过程,及时更新是保护设备的生命线。
德国及欧洲市场对移动设备安全标准有着严格要求,欧盟《网络弹性法案》(Cyber Resilience Act)正推动硬件厂商提升产品全生命周期的安全合规性。联发科此次漏洞虽属个案,但也反映出供应链中硬件层安全设计的复杂性。对于中国手机厂商而言,需重点关注芯片底层安全架构的自主可控能力,加强与芯片厂商的协同测试,确保在漏洞爆发时能实现“分钟级”响应。同时,应引导用户建立主动更新意识,将安全补丁纳入日常运维流程,而非被动等待推送。