Solana Labs工程师回应Solana Phone「漏洞」：解锁引导加载程序并非安全漏洞

BlockBeats 消息，11 月 16 日，Solana Labs 移动首席软件工程师 Steven Laver 表示，CertiK 的视频没有向 Saga 手机用户揭示任何已知的漏洞或安全威胁。该视频显示了用户解锁引导加载程序，这是可以在许多 Android 设备上完成的操作。 Laver 表示：「解锁引导加载程序是 Saga 的高级功能，默认情况下是禁用的。我们允许用户选择如何使用他们的手机，然而解锁引导加载程序并不是安全漏洞——用户必须明确允许对其设备进行此类更改，并且只有经授权的用户才能进行这些更改。」 然而，如果用户或攻击者继续解锁引导加载程序，他们不仅会收到多个警告，而且其设备（连同私钥一起）将被清除。Laver 表示：「因此，如果用户没有主动参与或毫不知情，这个过程是不可能发生的。」（Blockworks） 此前消息，近日 CertiK 发现 Solana Phone 中的一个关键引导程序漏洞，CertiK 测试专家在短短一分钟之内成功越狱测试了该款手机，并在几步操作内将其内所有资产洗劫一空。 该漏洞源于一种不安全的「引导程序解锁」功能。除了窃取用户资产外，它还会暴露设备上存储的所有个人数据。自四月初以来已有超过 2,100 台设备处于严重风险之中。 鉴于该漏洞的复杂性和物理访问的必要性，CertiK 已将漏洞告知 Solana，并公开发布了此漏洞预警，以保护 Web3 用户并促使他们采取有效措施来保护他们的资产安全。 CertiK 于 11 月 15 日发布一则视频分析该漏洞的细节。他们强调，该漏洞并不仅限于 Solana Phone，建议相关项目和开发者立即采取行动加强引导程序保护。