- Das Donjon-Team von Ledger hat MediaTek-Telefone ausgenutzt und PINs und Krypto-Wallet-Seed-Phrasen wiederhergestellt
- Über USB können Angreifer kryptografische Root-Schlüssel von ausgeschalteten Android-Geräten extrahieren
- Die Trusted Execution Environment von Trustonic kann Angriffe auf ein Viertel der Android-Geräte nicht verhindern
Das White-Hat-Hacking-Team von Ledger, das Donjon, hat eine Schwachstelle in MediaTek-basierten Android-Smartphones entdeckt, die es Angreifern ermöglicht, in weniger als einer Minute auf sensible Daten zuzugreifen.
Mithilfe eines Nothing CMF Phone 1 hat Donjon das Android-Betriebssystem vollständig umgangen, die PIN wiederhergestellt, den Speicher entschlüsselt und Startphrasen aus mehreren Krypto-Wallets extrahiert.
Der Fehler betrifft Geräte, die neben MediaTek-Prozessoren auch die Trusted Execution Environment von Trustonic nutzen, die in etwa jedem vierten Android-Smartphone weltweit zu finden ist.
Der Artikel wird weiter unten fortgesetzt
Angreifer können ein ausgeschaltetes Telefon über USB anschließen und Root-Kryptografieschlüssel abrufen, bevor das Betriebssystem geladen wird.
Sobald diese Schlüssel erhalten wurden, ermöglichen sie die Offline-Entschlüsselung des Speichers und das Brute-Force-Erzwingen der Geräte-PIN, wodurch Anwendungsdaten, einschließlich Nachrichten, Fotos und Wallet-Informationen, offengelegt werden.
Zero-Click-Angriffe zeigen, dass Android-Smartphones häufig nicht über ausreichenden Hardware- und Firmware-Schutz verfügen, um vertrauliche Benutzerinformationen vor hochentwickelten Exploits zu schützen.
„Diese Untersuchung beweist, was wir schon lange gewarnt haben: Smartphones wurden nie als Tresor konzipiert. Dies kann zwar gepatcht werden, und wir ermutigen alle Benutzer, mit den neuesten Sicherheitsfixes zu aktualisieren“, sagte Charles Guillemet, Chief Technology Officer von Ledger.
„Wenn sich Ihre Kryptowährung auf einem Telefon befindet, ist sie nur so sicher wie das schwächste Glied in der Hardware, Firmware oder Software dieses Telefons.“
Das Donjon-Team führt regelmäßige Audits der Geräte von Ledger und der Hardware von Drittanbietern durch und legt Schwachstellen verantwortungsbewusst offen, damit Hersteller Korrekturen vornehmen können, bevor es zu einer Ausnutzung kommt.
Ledger hat diese Schwachstelle MediaTek und Trustonic im Rahmen des standardmäßigen 90-Tage-Offenlegungsprozesses offengelegt, sodass Sicherheitspatches Zeit haben, die betroffenen OEMs zu erreichen.
MediaTek bestätigte, dass es am 5. Januar 2026 Updates an OEMs geliefert hat, und die Schwachstelle wurde am 2. März 2026 als CVE-2025-20435 öffentlich bekannt gegeben.
Benutzer sollten sofort Sicherheitsupdates installieren, um potenzielle Angriffe abzuwehren, da aktualisierbare Firmware weiterhin von entscheidender Bedeutung für das effektive Patchen von Zero-Day-Exploits ist.
Dieser Exploit zeigt die Risiken auf, die mit der Verwendung mobiler Geräte zur Speicherung privater Daten, einschließlich Krypto-Wallets und anderer sensibler Informationen, verbunden sind.
Alle auf Android-Smartphones gespeicherten Daten bleiben anfällig für hardwarebasierte Angriffe, was unterstreicht, dass sofortiges Patchen die einzige praktische Verteidigung gegen komplexe Bedrohungen darstellt.
Benutzer sollten sich darüber im Klaren sein, dass selbst moderne Business-Smartphones inhärente Sicherheitsrisiken bergen und Hardware-, Firmware- oder Softwarefehler dazu führen können, dass sensible Daten ohne Vorwarnung preisgegeben werden.
Sensible geschäftliche oder persönliche Daten sollten auf Mobiltelefonen nicht als sicher gelten, und die alleinige Verwendung dieser Geräte zur Speicherung von Vermögenswerten ist von Natur aus riskant.
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
