Kripto donanım cüzdanı şirketi Ledger‘ın güvenlik ekibi MediaTek işlemcili Android telefonlarda kritik bir güvenlik açığı keşfetti. Söz konusu açık saldırganların yalnızca bir USB kablosu aracılığıyla cihaza bağlanarak kripto cüzdan seed phrase’lerine erişmesine olanak tanıyordu. MediaTek bu açığı 5 Ocak’ta yayımladığı güvenlik güncellemesiyle kapattı.
Ledger’ın Donjon adlı güvenlik ekibi açığın MediaTek’in güvenli önyükleme zincirinden kaynaklandığını belirledi. Ekip bir Nothing CMF Phone 1 cihazını dizüstü bilgisayara bağlayarak yalnızca 45 saniyede telefonun PIN kodunu kırdı, depolama alanının şifrelemesini çözdü ve Trust Wallet, Phantom, Kraken Wallet ile Rabby dahil birçok popüler yazılım cüzdanından seed phrase’leri ele geçirdi. Üstelik tüm bu işlemler Android işletim sistemi başlatılmadan gerçekleşti.
Açık yaklaşık 36 milyon kişinin dijital varlıklarını mobil cihazlardan yönettiği göz önüne alındığında ciddi bir risk teşkil ediyordu. Android telefonların yaklaşık %25‘inin bu açıktan etkilenen MediaTek işlemcileri ve Trustonic güvenlik ortamını kullandığı belirtildi.
İlginizi Çekebilir: Bank of England Stablecoin Kurallarını Yeniden Masaya Yatırıyor
Ledger CTO‘su Charles Guillemet akıllı telefonların yapısal olarak güvenli tasarlanmadığını vurgulayarak “Telefon kapalıyken bile PIN ve seed phrase’ler bir dakika içinde ele geçirilebilir” dedi. Güvenlik güncellemesini henüz yüklememiş kullanıcıların bunu bir an önce yapması tavsiye ediliyor.