Ваш Android-смартфон может передать ваш криптокошелек менее чем за 60 секунд.
Собственная команда безопасности Ledger только что обнаружила аппаратный дефект в чипах MediaTek, который позволяет любому, имеющему физический доступ к вашему телефону, извлечь ваш PIN-код и сид-фразу еще до загрузки устройства. Подключите USB-кабель — и готово. Программное исправление это не устранит. Оно встроено в чип.
Речь идет о чипе Dimensity 7300. Он затрагивает примерно 25% всех устройств на Android. Даже телефон Solana Seeker находится в списке.
О MediaTek сообщили об этом еще в мае 2025 года. Решение? Его нет. Если у вас этот чип, у вас есть уязвимость.
Для тех, кто хранит реальные деньги в мобильном кошельке, это серьезный удар.
Как эксплойт Boot ROM обходит защиту Android
Уязвимость находится в загрузочном ПЗУ (Boot ROM). Это код, записанный в чип на заводе. Его невозможно обновить. Никогда.
Команда Ledger использовала электромагнитные импульсы, чтобы нарушить работу чипа в процессе старта. Идеально синхронизированные сбои напряжения заставляют процессор пропустить собственные проверки безопасности. Как только это происходит, злоумышленник получает привилегии EL3.
Это наивысший уровень контроля, доступный в архитектуре ARM. Полный доступ. Игра окончена.
В ходе тестирования им удавалось осуществить это примерно за 1 секунду на попытку.
После этого весь раздел данных расшифровывается офлайн. Приватные ключи, PIN-коды — все, что должна была защитить ваша доверенная среда исполнения. Исчезло.
Никакая защита на уровне приложений здесь не поможет. Сама основа сломана.
Миллионы устройств под угрозой, включая Solana Seeker
Затронуты миллионы среднебюджетных Android-смартфонов. И патча для уже выпущенных устройств не предвидится.
Ответ MediaTek был по сути: «физические атаки — это не совсем наша проблема». Но когда люди хранят серьезные деньги на этих телефонах, такой ответ больше не подходит.
Цифры это подтверждают. В 2024 году объем криптокраж достиг 3,41 миллиарда долларов. На личные кошельки теперь приходится 44% всей похищенной стоимости. В 2022 году эта цифра составляла 7,3%.
Сам технический директор Ledger это сказал: телефоны никогда не проектировались как хранилища. Если у вас есть реальные деньги в мобильном кошельке, переведите их на аппаратный кошелек немедленно.
Программное обходное решение будет включено в Бюллетень безопасности Android за март 2026 года.
Настоящий вопрос сейчас в том, смогут ли криптопроекты, ориентированные на мобильные устройства, пережить проблему доверия к оборудованию. Если фундамент продолжает трескаться, вся идея хранения криптовалюты на телефоне начинает рушиться.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ahmed Balaha
