A mobiltelefonok egyre fontosabb szerepet töltenek be a kriptovaluták kezelésében, ám egy friss biztonsági kutatás ismét rámutatott a kockázatokra. Egy januárban javított sérülékenység bizonyos androidos készülékeken lehetővé tehette érzékeny adatok, köztük kriptotárcák helyreállító kifejezéseinek (seed phrase) megszerzését. A hibát a Ledger biztonsági kutatócsapata tárta fel, és bár a javítás már elérhető, a frissítéseket nem telepítő felhasználók továbbra is veszélyben lehetnek.
A sebezhetőség a MediaTek chipek úgynevezett biztonságos indítási láncában volt, amelynek feladata, hogy a telefon csak hiteles és sértetlen szoftverrel indulhasson el. A kutatók szerint azonban megfelelő eszközökkel ez a védelem megkerülhető volt.
A demonstráció során egy Nothing CMF Phone 1 készüléket csatlakoztattak egy laptophoz USB-kábellel, majd speciális szoftver segítségével hozzáfértek a rendszerhez. A támadás nagyjából 45 másodperc alatt sikerrel járt, miközben az operációs rendszer még el sem indult.
Nothing CMF Phone 1
A bemutató szerint a módszer képes volt visszafejteni a telefon feloldókódját és hozzáférni a titkosított tárhelyhez. Ezt követően több ismert szoftveres kriptotárcából is ki tudták nyerni a helyreállító kifejezéseket. Ezek birtokában a támadó elméletben teljes hozzáférést szerezhet az adott tárcához tartozó digitális eszközökhöz.
A probléma azokat az androidos készülékeket érinthette, amelyek MediaTek processzorra és a Trustonic úgynevezett megbízható végrehajtási környezetére épülnek. A becslések szerint az androidos telefonok mintegy negyede használ ilyen kombinációt, ami elméletben jelentős felhasználói bázist érinthetett.
A kutatók már a sérülékenység nyilvánosságra hozatala előtt értesítették a gyártót, amely 2025. január 5-én kiadta a szükséges javítást. A szakértők szerint ezért elsősorban azok a felhasználók lehetnek veszélyben, akik nem telepítették a legfrissebb biztonsági frissítéseket.
Ez is érdekelhet még: Hamis szoftver lopja el a Mac-es adataid és a kriptóidat
Az eset ismét felhívja a figyelmet arra, hogy az okostelefonok alapvetően általános célú eszközök, nem pedig kifejezetten érzékeny titkok védelmére tervezett rendszerek.
A Ledger vállalat technológia igazgatója, Charles Guillemet, egy bejegyzésében erősen kritizálta az okostelefonokat:
„Az okostelefonokat nem biztonságra tervezték. Még kikapcsolt állapotban is kinyerhetők róluk a felhasználói adatok – beleértve a PIN-kódokat és a helyreállító kifejezéseket – kevesebb mint egy perc alatt.”
A szakértők szerint ezért különösen fontos, hogy a felhasználók rendszeresen telepítsék a biztonsági frissítéseket, és lehetőség szerint ne tárolják a kriptotárcák helyreállító adatait mobiltelefonon. Egyetlen sérülékenység ugyanis elegendő lehet ahhoz, hogy a készüléken tárolt digitális vagyon is veszélybe kerüljön.
Megjelent a BitcoinBázis oldalon.
