🚨 @DonjonLedger a encore frappé en découvrant une vulnérabilité MediaTek pouvant potentiellement impacter des millions de téléphones Android. Un autre rappel que les smartphones ne sont pas conçus pour la sécurité. Même lorsqu'ils sont éteints, les données des utilisateurs - y compris les codes PIN et les phrases de récupération - peuvent être extraites en moins d'une minute.

Le Ledger Donjon a branché un Nothing CMF Phone 1 à un ordinateur portable et a contourné la sécurité fondamentale du téléphone en 45 secondes. Cela pourrait affecter des millions de smartphones Android utilisant le TEE de Trustonic et les processeurs MediaTek.

Sans même démarrer Android, l'exploit a automatiquement récupéré le code PIN du téléphone, décrypté son stockage et extrait les phrases de récupération des portefeuilles logiciels les plus populaires.

Cette recherche met en évidence une différence architecturale fondamentale : les puces à usage général sont conçues pour la commodité. Les Éléments Sécurisés sont conçus pour la protection des clés. Un Élement Sécurisé dédié isole les secrets du reste du système, les protégeant même en cas d'attaque physique.