Ledger, Nakuha ang mga Crypto Seed mula sa 6 na Wallet sa Loob lamang ng 45 Segundo
Nagawang mapasok ng "white-hat security team" ng Ledger ang anim na crypto wallet sa isang Nothing CMF Phone 1 gamit ang isang kahinaan (vulnerability) sa MediaTek Dimensity 7300. Nakuha nila ang PIN ng device at ang mga seed phrase nang hindi na kinakailangang i-boot ang Android system. Naapektuhan ng nasabing depekto ang 25% ng mga Android device sa buong mundo bago ito inayos ng MediaTek noong Enero 2025.
Key Takeaway
Mas ligtas ang mga hardware wallet kaysa sa mga phone app: Ipinapakita ng depekto sa MediaTek na hindi kayang tapatan ng mga mobile chip ang mga "dedicated Secure Elements" pagdating sa pagprotekta ng mga security key.
Napasok ng "Donjon team" ng Ledger ang Trust Wallet, Base, Kraken Wallet, Rabby, Tangem’s Mobile Wallet, at Phantom sa isang test device na gumagamit ng MediaTek Dimensity 7300 chipset. Isinagawa ng Ledger ang attack test noong Disyembre 2025 sa Nothing CMF Phone 1, na gumagamit ng Trusted Execution Environment ng Trustonic—isang kombinasyong makikita sa 25% ng mga Android device sa buong mundo. Nalusutan ng exploit ang mga security protection nang hindi na nag-bu-boot sa Android, kung saan awtomatiko nitong nakuha ang PIN ng telepono, na-decrypt ang storage, at nakuha ang mga seed phrase mula sa anim na wallet sa loob lamang ng 45 segundo.
Sinabi ng Ledger Chief Technology Officer na si Charles Guillemet na ang smartphones ay hindi talaga ginawa para sa security at ang user data kasama ang pins at seeds ay pwedeng makuha sa loob ng isang minuto kahit naka-off ang devices. Ipinaliwanag niya na ang general-purpose chips ay inuuna ang convenience habang ang dedicated Secure Elements ay nag-isolate ng secrets mula sa iba pang parts ng system, protecting them kahit under physical attack. Nag-flag na ang Ledger ng smartphone security risks mula noong Hunyo 2020, nang unang magbabala si Guillemet na ang Android at iPhone devices ay napakahirap gamitin para sa secure applications.
Nag-release ang MediaTek ng patch noong Enero 5, 2025. Sinabi ng Ledger sa Cointelegraph na hindi na nila inaasahan na magiging ongoing issue ito ngayong live na ang fix. Naapektuhan ng vulnerability ang humigit-kumulang 36 milyong tao na namamahala ng digital assets sa phones noong early 2025.
Sumusunod ang Donjon team ng Ledger sa 90-day responsible disclosure policy, nag-a-audit ng third-party hardware para payagan ang vendors na mag-patch ng flaws bago lumabas ang public exploits. Na-patch din ng MediaTek ang separate boot chain vulnerabilities sa MT6899 at MT6989 chipsets nito through its February 2026 Product Security Bulletin. Natukoy na ng Check Point researchers ang MediaTek Trusted Execution Environment flaws noong 2022 na nagbigay-daan sa attackers na mag-downgrade ng trusted apps sa Xiaomi devices at mag-extract ng private keys para sa Tencent Soter payments.
ℹ️ Article Details
- Source: cointelegraph.com
- Original URL: https://cointelegraph.com/news/crypto-seed-phrase-exploit-android-phones-ledger-mediatek?utm_source=rss_feed&utm_medium=rss&utm_campaign=rss_partner_inbound
- Reading Time: 3 minutes
- Category: featured-stories
- Tickers: None
- Key Takeaway: Hardware wallets beat phone apps: MediaTek flaw shows mobile chips can't match dedicated Secure Elements for key protection.
- Slug: ledger-extracted-crypto-seeds-wallets-seconds
✅ Approval Actions
To APPROVE & PUBLISH: Mark this task as "COMPLETE" To REJECT: Add comment "reject" and close task To REGENERATE IMAGE: Change status to "REGENERATE IMAGE"
Ang artikulong ito ay isinulat batay sa ulat mula sa Cointelegraph.
