Рига: +12.1°С
Атака на цепочку безопасной загрузки
Исследовательская команда Donjon, входящая в состав Ledger, обнаружила критическую уязвимость в цепочке безопасной загрузки (secure boot chain) процессоров MediaTek, используемых в значительной части устройств на платформе Android. Эта брешь в безопасности позволяет злоумышленнику, имеющему физический доступ к смартфону, потенциально извлечь PIN-код устройства и seed-фразы криптовалютных кошельков всего за 45 секунд.
Уязвимость затрагивает конфигурации, где используются чипы MediaTek совместно с доверенной средой выполнения Trustonic TEE. По оценкам Ledger, это может касаться около 25% всех Android-смартфонов на мировом рынке.
Принцип работы эксплойта
Эксплойт использует слабое место в механизме загрузки чипа, позволяя хакеру обойти базовые средства защиты до полной загрузки операционной системы Android. Для проведения атаки требуется физическое подключение смартфона к компьютеру через USB-кабель. В ходе демонстрации, проведенной командой Donjon на модели Nothing CMF Phone 1, удалось получить полный контроль над данными устройства.
«Это исследование доказывает то, о чем мы давно предупреждали: смартфоны никогда не создавались как сейфы», — подчеркнул технический директор Ledger Чарльз Гийеме, комментируя обнаружение.
Последствия для пользователей
Успешная эксплуатация этой уязвимости дает возможность восстановить конфиденциальные данные, включая секретные ключи доступа к средствам в программных (горячих) кошельках. В рамках теста исследователи смогли извлечь данные из таких популярных приложений, как Trust Wallet, Kraken Wallet и Phantom. Поскольку seed-фраза является мастер-ключом к активам, ее похищение ведет к немедленной и полной потере средств.
Реакция индустрии и меры предосторожности
Исследователи сообщили о находке производителю чипов своевременно. Компания MediaTek уже выпустила исправление (патч) для уязвимости в январе 2026 года. Однако, поскольку обновление прошивки зависит от производителей конечных устройств (OEM), пользователям рекомендуется немедленно установить все доступные системные обновления безопасности. Ledger напоминает, что удобство мобильных решений не должно затмевать тот факт, что смартфоны не предназначены для хранения наиболее ценных криптографических данных.
Следите за новостями на других платформах: