⚡ Терміново
UkrPulse
UkrPulse
Кібербезпека

"Вразливість у MediaTek: як смартфони можуть бути використані проти криптовалют"

ukrpulse · · 2 хв читання · 11 переглядів
Нові дослідження показують, що більшість смартфонів Android мають критичну вразливість у своїй безпеки, яка дозволяє зловмисникам витягти конфіденційні дані криптогаманців. Це можна зробити за допомогою фізичного доступу при підключенні смартфона до комп'ютера через USB.

Критична вразливість у MediaTek: можливе витягнення даних з криптовалютних гаманців за 45 секунд

Команда Donjon компанії Ledger виявила критичну вразливість у ланцюжку безпечного завантаження MediaTek, яка потенційно може дозволити витягнути PIN-код пристрою та seed-фрази криптогаманців за наявності фізичного доступу приблизно за 45 секунд.

Внутрішня команда безпеки Ledger стверджує, що слабке місце у ланцюжку притаманне прошивці Android-телефонів, які використовують процесори MediaTek. У тесті з доказом концепції (proof-of-concept) експлойт відновив конфіденційні дані гаманців із застосунків, зокрема Trust Wallet, Kraken Wallet і Phantom.

  • Витягнути криптографічні ключі, що захищають повне шифрування диска Android;
  • Розшифрувати сховище офлайн;
  • Під'єднати телефон через USB до часу завантаження операційної системи.

“Це дослідження доводить те, про що ми давно попереджали: смартфони ніколи не створювалися як сейфи”, — заявив у повідомленні технічний директор Ledger Чарльз Гійєме.

За словами дослідників, вразливість потенційно може зачепити близько 25% Android-телефонів, зокрема моделі виробників, що використовують чипи MediaTek і довірене середовище виконання Trustonic.

Мета дослідження

Мета публікації дослідження — дати індустрії час виправити такі вразливості до того, як їх почнуть використовувати зловмисники. Donjon, внутрішня команда Ledger із “білих” хакерів, раніше вже розкривала вразливості, що впливають на чипи Android, а також атаки з обходом PIN-коду в конкуруючих гаманцях.

Потенційні наслідки

Хоча це можна виправити, і ми закликаємо всіх користувачів оновитися до останніх виправлень безпеки, наданих MediaTek і виробниками телефонів, це демонструє складність зберігання секретів на небезпечних пристроях.

Якщо ваша криптовалюта знаходиться на телефоні, її безпека настільки ж сильна, наскільки сильна найслабша ланка в апаратному забезпеченні, прошивці або програмному забезпеченні цього телефону”, — пояснює Гійєме.

Контекст

Звіт з’явився на тлі того, що зловмисники продовжують масово атакувати користувацькі гаманці. Інфраструктурні атаки, включно з крадіжками приватних ключів, викраденнями seed-фраз і захопленням фронтендів, становили понад 80% із $2,1 млрд, викрадених у першій половині 2025 року.

За підсумками всього року втрати від криптокрадіжок перевищили $3,41 млрд, свідчать дані Chainalysis. Компанія також відзначила значне зростання випадків компрометації особистих гаманців: їхня частка зросла з 7,3% загальної викраденої вартості у 2022 році до 44% у 2024-му, що торкнулося понад 158 000 випадків.

Джерело: itc.ua
#MediaTek #вразливість #Ledger #безпечний завантаження #PIN-код #seed-фрази.

Поділитись:

Facebook Telegram Viber Twitter/X

Читайте також