Виробник чіпів для мобільних телефонів MediaTek у січні виправив уразливість, яка вражала його чіпсети, що дозволило зловмиснику вкрасти початкові фрази криптовалюти на уражених пристроях, використовуючи лише USB-кабель і відповідне програмне забезпечення.
Уразливість була виявлена групою безпеки компанії Ledger Donjon, яка повідомила про вразливість MediaTek до того, як виправлення було випущено 5 січня, хоча користувачам, які не встановили останні патчі безпеки, рекомендується це зробити, сказав Леджер.
Тестовий пристрій зламано за 45 секунд
За словами Леджера, недолік виник через безпечний ланцюжок завантаження MediaTek, механізм безпеки, вбудований у його чіпи, який забезпечує безпечний запуск телефону та лише з авторизованим програмним забезпеченням під час запуску.
У заяві, надісланій Cointelegraph, Леджер пояснив, що недолік означає, що зловмисник, який має доступ до телефону Android, може підключити його до комп’ютера через USB і обійти засоби захисту, потенційно отримуючи доступ до конфіденційних даних на пристрої, включаючи початкові фрази гаманця криптовалюти.
Близько 25% телефонів Android використовують Trustonic Trusted Execution Environment (TEE) і процесори MediaTek, які використовують недолік безпеки.
Donjon продемонстрував злом, підключивши Nothing CMF Phone 1 до ноутбука та поставивши під загрозу безпеку пристрою приблизно за 45 секунд.
«Навіть без завантаження Android експлойт автоматично відновив PIN-код телефону, розшифрував його пам’ять і витягнув вихідні фрази з найпопулярніших програмних гаманців: Trust Wallet, Base, Kraken Wallet, Rabby, Tangem’s Mobile Wallet і Phantom», — сказав Леджер.
У той час як Ledger закликав користувачів оновити свої пристрої, представник Ledger сказав Cointelegraph, що вони «не очікують, що це буде постійною проблемою».
Мобільні телефони ніколи не є безпечними, каже Леджер
Оскільки станом на початок 2025 року майже 36 мільйонів людей керують цифровими активами на своїх телефонах, навіть одна вразливість може поставити під загрозу значну кількість гаманців.
У грудні 2025 року компанія Ledger виявила, що протестувала атаку на MediaTek Dimensity 7300 (MT6878) і обійшла заходи безпеки, щоб отримати «повний і абсолютний контроль над смартфоном, без жодного бар’єру безпеки».
У червні 2020 року головний технічний директор Ledger Чарльз Гіллемет сказав Cointelegraph, що на мобільних телефонах, будь то Android чи iPhone, «дуже важко мати безпечні програми».
Він підтвердив подібну точку зору в середу, опублікувавши на X: “Смартфони не створені для безпеки. Навіть коли живлення вимкнено, дані користувача, включаючи піни та початкові коди, можна витягнути менш ніж за хвилину”.
“Це дослідження підкреслює фундаментальну архітектурну різницю: мікросхеми загального призначення створені для зручності. Елементи безпеки створені для захисту ключів. Спеціальний елемент безпеки ізолює секрети від решти системи, захищаючи їх навіть під час фізичної атаки”, – сказав він.
