Podem existir vulnerabilidades mais sérias nos processadores MediaTek do que se imaginava anteriormente

Trustonic nega acusações de criar vulnerabilidade em processadores MediaTek

Especialistas em cibersegurança da Trustonic afirmaram que seu software não é a origem das falhas encontradas em dispositivos com chips MediaTek. Isso pode significar que um espectro mais amplo de gadgets foi afetado pela mesma questão do que se pensava anteriormente.

Como a vulnerabilidade foi descoberta
- A equipe Donjon (empresa francesa Ledger) identificou o exploit.
- O exploit foi demonstrado no smartphone *Nothing CMF Phone 1* – a invasão terminou em 45 segundos sem carregar o Android, apenas conectando o telefone ao PC.
- Após o ataque, os engenheiros obtiveram acesso a dados confidenciais: código PIN de desbloqueio e frase secreta de recuperação da carteira.

Por que a Trustonic afirma sua inocência
1. Componente-chave – Kinibi
- É um software protegido da Trustonic que opera dentro do TEE (Trusted Execution Environment) do smartphone.
- Ele protege códigos PIN, chaves de criptografia e informações biométricas.
2. Verificação em outros chips
- A Trustonic observa que o Kinibi funciona sem falhas em produtos de outros fabricantes de SoC que usam a mesma versão de software.
- Assim, a vulnerabilidade está ligada exclusivamente à plataforma MediaTek, não ao próprio produto da Trustonic.
3. Atualização da MediaTek
- A empresa considera a atualização do Kinibi desnecessária, pois as correções da MediaTek já resolvem o problema.

O que isso significa para o mercado Android
- A vulnerabilidade pode afetar mais dispositivos do que se pensava inicialmente, já que muitos smartphones usam chips MediaTek e diferentes implementações de TEE.
- A Trustonic destaca que seu software não é usado em todos os modelos de dispositivos MediaTek, portanto as acusações de ligação direta com seu produto são infundadas.

Posição atual das partes
- Trustonic: renuncia à responsabilidade e reconhece que o problema está localizado na plataforma MediaTek.
- Ledger Donjon: ainda não forneceu comentários adicionais sobre o uso da Trustonic no Nothing CMF Phone 1.