手機晶片爆安全漏洞！未開機也可能遭破解　數百萬Android用戶恐受影響

▲手機晶片爆安全漏洞，未開機也可能遭破解。（圖／取自免費圖庫Pexels）

資安研究人員近日揭露一項影響多款 Android 手機的安全漏洞。研究指出，部分採用聯發科（MediaTek）處理器的裝置即使 尚未開機或 Android 系統尚未啟動，攻擊者仍可能透過電腦連接，在短時間內取得裝置內的敏感資料，潛在影響數百萬用戶。

研究團隊 45 秒取得手機存取權

這項漏洞由加密硬體錢包公司 Ledger 旗下的硬體安全研究團隊 Donjon 發現。研究人員以 Nothing 旗下 CMF Phone 1 作為示範裝置，該手機搭載聯發科 Dimensity 7300 處理器。研究顯示，透過特定攻擊方式，研究人員在 約 45 秒內便成功取得手機存取權。

研究指出，漏洞可讓攻擊者在系統尚未啟動 Android 之前，就突破裝置的安全防護。若被利用，駭客可能取得手機 PIN 碼、解密裝置儲存資料，甚至擷取加密貨幣錢包的 Seed Phrase（助記詞，可視為錢包的主密碼） 等敏感資訊。

利用開機流程弱點發動攻擊

研究團隊表示，這次攻擊利用的是 Android 裝置 開機流程（boot chain） 中的弱點。在系統尚未完全啟動前，安全保護機制仍有可能被繞過。

在示範實驗中，研究人員只需將 Nothing CMF Phone 1 透過 USB 連接到筆電，即可發動攻擊。整個過程不需要安裝惡意程式，也不需要操作手機畫面，更不需要使用者進行任何互動。

漏洞可能影響多品牌 Android 手機

研究更指出，這項漏洞可能影響 數百萬台搭載聯發科處理器的 Android 裝置，尤其是使用 Trustonic Trusted Execution Environment（TEE，可信執行環境） 的設備。

TEE 是處理器內的一個隔離區域，主要用來儲存與處理敏感資料，例如指紋資訊、行動支付憑證與安全認證資料。雖然在軟體層面與系統隔離，但其實仍整合在主處理器之中，因此在某些情況下仍可能受到硬體層級攻擊。

聯發科公布的安全公告顯示，受影響晶片可能被多個手機品牌採用，包括 Samsung、OPPO、vivo、OnePlus 等，因此影響範圍可能相當廣泛。

聯發科已發布修補更新

目前尚不清楚這個漏洞是否曾被惡意駭客實際利用。聯發科表示，已在 2026 年 1 月 向手機製造商提供修補程式，相關修補通常會透過手機系統更新推送。

對使用者而言，最重要的防護措施仍是「定期安裝手機最新系統更新」，確保裝置已套用最新安全修補，以降低潛在風險。