introduzione sintetica: si sintetizza una vulnerabilità di rilievo che riguarda i dispositivi Android alimentati da una serie di chipset MediaTek. Identificata come CVE-2026-20435, la falla riguarda la catena di avvio e permette di scavalcare protezioni fondamentali prima che il sistema operativo si carichi. Un team di Ledger, noto come Donjon, ha reso visibile la gravità della lacuna e ha dimostrato la possibilità di aggirare la sicurezza su un modello Nothing CMF Phone 1 in soli 45 secondi. L’esito pone l’accento sull’esigenza di aggiornamenti tempestivi e su una responsabilità condivisa tra fornitori di chip e produttori di dispositivi.
vulnerabilità critica nella catena di avvio di milioni di telefoni
La falla è legata a specifici processori MediaTek che fanno affidamento sull’ambiente di esecuzione affidabile di Trustonic (TEE). Gli esperti hanno sfruttato una debolezza della catena di avvio di Android per superare le protezioni primarie prima che il sistema operativo possa essere completamente caricato. L’effetto è la possibilità di esporre dati sensibili e controllare parti critiche del dispositivo fin dalle primissime fasi dell’avvio.
quadro tecnico e impatto
Il metodo di attacco non richiede malware né interazione sull’interfaccia utente del telefono; basta una connessione fisica tramite USB per compromettere lo stato di sicurezza. Una volta stabilita la connessione, il processo consente di recuperare dati protetti, inclusi PIN, chiavi di cifratura e persino le seed phrases associate a portafogli crypto, con potenziale esposizione di informazioni estremamente sensibili.
dimostrazione pratica su nothing cmf phone 1
In una dimostrazione di concetto, un modello Nothing CMF Phone 1 è stato compromesso in 45 secondi, evidenziando la gravità della vulnerabilità a livello di catena di avvio e la facilità d’esecuzione dell’attacco in condizioni fisiche controllate.
aggiornamenti e responsabilità dei produttori
In seguito alla disclosure responsabile, MediaTek ha sviluppato una patch software mirata a correggere la vulnerabilità di avvio e ha distribuito queste correzioni agli OEM interessati il 5 gennaio 2026. Poiché la fornitura riguarda solo i componenti, la responsabilità di aggiornare i dispositivi ai modelli interessati ricade sui produttori, che devono integrare le patch nei propri prodotti.
impatto complessivo e misure di mitigazione
Il responsabile tecnico di Ledger ha sottolineato come questa situazione rifletta una problematica più ampia: i telefoni mirano soprattutto a praticità e non sono progettati come veri e propri depositi crypto. Le patch di sicurezza restano essenziali finché gli OEM non rilasciano gli aggiornamenti necessari per i dispositivi interessati. Nel frattempo, è consigliabile installare tempestivamente gli aggiornamenti non appena disponibili per ridurre il rischio di sfruttamento della falla.
🚨 @DonjonLedger has struck again discovering a MediaTek vulnerability potentially impacting millions of Android phones. Another reminder that smartphones aren’t built for security. Even when powered off, user data – including pins & seeds – can be extracted in under a minute.
— Charles Guillemet (@P3b7_) March 11, 2026
Lascia un commento