Możliwe są poważniejsze luki w procesorach MediaTek niż wcześniej przypuszczano

Trustonic odrzuca zarzuty o stworzeniu luki w procesorach MediaTek

Specjaliści ds. cyberbezpieczeństwa z Trustonic stwierdzili, że ich oprogramowanie nie jest źródłem niedociągnięć wykrytych w urządzeniach z układami MediaTek. Może to oznaczać, że szerszy zakres gadżetów został poddany tej samej problematyce niż wcześniej zakładano.

Jak odkryto lukę
- Zespół Donjon (francuska firma Ledger) wykrył exploit.
- Exploit został zaprezentowany na smartfonie *Nothing CMF Phone 1* – włamanie zakończyło się po 45 sekundach bez uruchamiania Androida, po prostu podłączając telefon do komputera.
- Po ataku inżynierowie uzyskali dostęp do poufnych danych: kod PIN odblokowania i tajny zwrot odzyskiwania portfela.

Dlaczego Trustonic twierdzi swoją niewinność
1. Kluczowy komponent – Kinibi
- To chronione oprogramowanie od Trustonic, działające wewnątrz TEE (Trusted Execution Environment) smartfona.
- Zapewnia ochronę kodów PIN, kluczy szyfrujących i informacji biometrycznych.
2. Testy na innych układach
- Trustonic zauważa, że Kinibi działa bez problemów w produktach innych producentów SoC korzystających z tej samej wersji oprogramowania.
- W związku z tym luka jest powiązana wyłącznie z platformą MediaTek, a nie z samym Trustonic.
3. Aktualizacja od MediaTek
- Firma uznaje aktualizację Kinibi za zbędną, ponieważ poprawki od MediaTek już rozwiązują problem.

Co to oznacza dla rynku Android
- Luka może dotknąć więcej urządzeń niż pierwotnie uważano, ponieważ wiele smartfonów wykorzystuje układy MediaTek i różne implementacje TEE.
- Trustonic podkreśla, że ich oprogramowanie nie jest używane we wszystkich modelach urządzeń MediaTek, dlatego zarzuty o bezpośrednim powiązaniu z ich produktem są nieuzasadnione.

Aktualna pozycja stron
- Trustonic: odrzucenie odpowiedzialności i uznanie, że problem jest ograniczony do platformy MediaTek.
- Ledger Donjon: na razie nie udzielili dodatkowych komentarzy w sprawie użycia Trustonic w Nothing CMF Phone 1.