A falha de segurança nos processadores MediaTek pode ser muito maior do que se pensava anteriormente.

A especialista em cibersegurança Trustonic negou as alegações de que seu aplicativo seja a origem de uma vulnerabilidade em dispositivos com processadores MediaTek. Isso pode significar que mais dispositivos estão afetados do que se pensava inicialmente, de acordo com o Android Authority.

O problema foi descoberto por especialistas do departamento Donjon da empresa francesa Ledger. Eles demonstraram uma exploração usando um smartphone Nothing CMF Phone 1, que foi hackeado em 45 segundos sem inicializar o Android — simplesmente conectando-o a um PC. Os engenheiros extraíram informações confidenciais do dispositivo, incluindo o PIN para desbloqueá-lo e a frase de recuperação para acessar a carteira de criptomoedas.

A Ledger sugeriu que a causa raiz do problema reside no Ambiente de Execução Confiável (TEE) dos chips MediaTek. No entanto, a Trustonic afirmou que o problema não está relacionado ao seu software. “Este problema não existe em produtos de outros fabricantes de sistemas em chip onde usamos a mesma versão do Kinibi”, enfatizaram. O Kinibi é o software de segurança da Trustonic que roda dentro do TEE (Electronic Exchange Environment) do smartphone e garante a segurança de dados sensíveis, como códigos PIN, chaves de criptografia e informações biométricas. Embora, segundo a Trustonic, esse software funcione normalmente em outros chipsets, a vulnerabilidade é específica da plataforma MediaTek.

“A Trustonic não é usada em todos os chipsets da MediaTek, o que significa que atribuir a vulnerabilidade diretamente à Trustonic é injustificado”, afirmou a empresa. A Trustonic também não viu necessidade de atualizar o Kinibi, já que a atualização da MediaTek resolveu o problema.Isso sugere que o problema afetou uma gama mais ampla de produtos do que se pensava anteriormente.Dispositivos Android de diferentes fabricantes possuem implementações de segurança distintas. Um representante da empresa se recusou a especificar se essa solução é utilizada no Nothing CMF Phone 1. A Ledger Donjon também não se pronunciou sobre o assunto até o momento.