🚨 @DonjonLedger снова ударил, обнаружив уязвимость MediaTek, которая потенциально может затронуть миллионы телефонов на Android. Еще одно напоминание о том, что смартфоны не созданы для безопасности. Даже когда они выключены, данные пользователей - включая пины и семена - могут быть извлечены менее чем за минуту.

Ledger Donjon подключил телефон Nothing CMF Phone 1 к ноутбуку и нарушил базовую безопасность телефона за 45 секунд. Это может повлиять на миллионы смартфонов Android, использующих TEE от Trustonic и процессоры MediaTek.

Не загружая Android, эксплойт автоматически восстановил PIN-код телефона, расшифровал его хранилище и извлек семенные фразы из самых популярных программных кошельков.

Это исследование подчеркивает фундаментальное архитектурное различие: универсальные чипы созданы для удобства. Защищенные элементы созданы для защиты ключей. Специальный защищенный элемент изолирует секреты от остальной системы, защищая их даже при физической атаке.