Falha no chip MediaTek expôs carteiras criptográficas e senhas sem inicializar o Android

Pesquisadores de segurança da Ledger descobriram uma grande falha em alguns chips de smartphones Android que permite que um invasor desvie dados criptografados do usuário, como senhas e chaves privadas, em questão de segundos, usando apenas uma conexão USB.

A vulnerabilidade foi detectada pela primeira vez em janeiro pela equipe de pesquisa de segurança interna da Ledger, Donjon, escreveu o diretor de tecnologia da Ledger, Charles Guillemet, em um post recente no X.

De acordo com Guillemet, a vulnerabilidade afetou smartphones equipados com processadores TEE da MediaTek e Trustonic.

Desde então, a MediaTek lançou um patch de segurança para corrigir o problema; os usuários que não instalaram as atualizações de segurança mais recentes em seus dispositivos ainda podem permanecer em risco.

Hackers de chapéu branco conseguiram penetrar em um smartphone do fabricante Nothing, principalmente o telefone CMF 1 da empresa, em menos de 45 segundos usando um laptop.

“Sem sequer inicializar o Android, o exploit recuperou automaticamente o PIN do telefone, descriptografou seu armazenamento e extraiu as frases-semente das carteiras de software mais populares”, disse Guillemet.

Isso coloca em risco carteiras de software como Trust Wallet, Base, Kraken Wallet, Rabby, Tangem’s mobile wallet e Phantom, já que as frases-semente e outras credenciais confidenciais são armazenadas localmente no dispositivo.

Em seu relatório, os pesquisadores observaram que a vulnerabilidade permitiu que invasores com acesso físico contornassem as proteções de segurança do telefone por meio da cadeia de inicialização segura, que é um processo central de inicialização executado no nível de privilégio mais alto antes do carregamento do sistema operacional. Posteriormente, o invasor pode recuperar o PIN do dispositivo, descriptografar seu armazenamento e extrair as informações.

“Isso tem o potencial de afetar milhões de smartphones Android”, acrescentou Guillemet.

As estimativas sugerem que quase 36 milhões de pessoas gerem ativos digitais nos seus smartphones, o que significa que se os atacantes conseguirem explorar uma vulnerabilidade, isso poderá colocar em risco um grande número de carteiras.

Guillemet aconselhou o uso de dispositivos com elementos seguros dedicados que são construídos para proteção de chaves e podem proteger dados confidenciais mesmo sob ataque físico.

A equipe do Ledger também detalhou um ataque separado testado nos processadores MediaTek Dimensity 7300 (MT6878) em dezembro, onde a equipe usou injeção eletromagnética de falha para interromper o processo de inicialização do chip. Isso permitiu que eles contornassem as verificações de segurança e, finalmente, obtivessem controle total sobre o smartphone no nível de privilégio mais alto.

Conforme abordado pelo crypto.news em diversas ocasiões, os usuários de criptomoedas foram alvo de diversas plataformas, incluindo iOS, macOS e Windows.

Embora os dispositivos Android sejam muitas vezes mais fáceis de comprometer devido ao ecossistema mais aberto do Google e ao modelo flexível de distribuição de aplicativos, os dispositivos iOS da Apple também desenvolveram vetores de ataque exclusivos que visam os usuários por meio de estruturas maliciosas incorporadas em aplicativos legítimos.

Por exemplo, no ano passado, pesquisadores de segurança descobriram um aplicativo malicioso que se infiltrou em dispositivos iOS e Android, solicitando acesso a arquivos e, posteriormente, verificando o armazenamento do dispositivo para extrair dados da carteira. Embora não seja de natureza tão severa tecnicamente quanto as explorações em nível de hardware, o esquema ainda conseguiu roubar mais de US$ 1,8 milhão em criptomoedas.

Na mesma época, a Kaspersky sinalizou uma campanha de malware que se espalhava por meio de kits de desenvolvimento de software malicioso incorporados em aplicativos aparentemente inofensivos.