Команда безопасности Donjon от Ledger обнаружила уязвимость в устройствах MediaTek, взломав защиту телефона Nothing всего за 45 секунд. — androidheadlines.com
Похоже, что смартфоны на чипсетах MediaTek, включая Nothing CMF, имеют серьезную уязвимость безопасности. Исследователи безопасности из команды аппаратной безопасности Ledger, Donjon, смогли обнаружить уязвимость, затрагивающую миллионы Android-устройств на базе чипов MediaTek. В качестве демонстрации концепции команде удалось полностью обойти защиту модели Nothing CMF Phone 1 всего за 45 секунд.
Это критическая уязвимость цепочки загрузки, затрагивающая миллионы смартфонов
Согласно официальному названию CVE-2026-20435, уязвимость нацелена на определенные процессоры MediaTek, которые используют доверенную среду исполнения (TEE) от Trustonic. Исследователи воспользовались слабостью в цепочке загрузки Android смартфонов, чтобы обойти фундаментальные меры безопасности еще до того, как ОС Android успеет полностью загрузиться.
Примечательно, что для взлома системы атака требовала лишь кратковременного физического подключения Nothing CMF Phone 1 к ноутбуку через USB. Ей даже не потребовалось вредоносное ПО или взаимодействие с дисплеем телефона. После подключения исследователи обошли ключевые средства защиты. Им удалось извлечь PIN-код телефона, расшифровать хранилище и получить конфиденциальные данные. К ним относятся и сид-фразы криптовалютных кошельков.
Что делает MediaTek?
После ответственного раскрытия информации командой MediaTek разработала программный патч для устранения уязвимости безопасности цепочки загрузки. По данным компании, MediaTek уже распространила эти исправления безопасности среди производителей телефонов, или OEM-производителей, 5 января 2026 года. Однако, поскольку Mediatek поставляет только чипы, она не может нести прямую ответственность за обновление потребительских продуктов. Эта работа ложится на плечи производителей телефонов по выпуску патча для затронутых устройств.
Стоит упомянуть, что технический директор Ledger Шарль Гийемет добавил, что это подчеркивает более широкую проблему. Он пояснил, что в смартфонах приоритет отдается удобству, и производители никогда не проектировали их как криптохранилища. Эти устройства остаются уязвимыми до тех пор, пока OEM-производители не выпустят обновления безопасности.
Пока производители телефонов не выпустят эти обновления для затронутых устройств, пользователи могут оставаться под угрозой. А пока устанавливайте последние обновления программного обеспечения, как только они станут доступны.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Akshay Kumar