L'équipe de sécurité de Ledger découvre une vulnérabilité du processeur MediaTek, pouvant entraîner le vol de la phrase mnémonique du portefeuille

Gate News rapporte qu’au 11 mars, l’équipe de recherche en sécurité de Ledger, Donjon, a découvert une vulnérabilité dans la chaîne de démarrage sécurisé des processeurs MediaTek. Un attaquant peut, en contact physique avec le téléphone, extraire la clé cryptographique avant le chargement du système d’exploitation via une connexion USB, déchiffrant ainsi le stockage de l’appareil, et ce, en environ 45 secondes, pour obtenir le code PIN du dispositif et la phrase mnémonique du portefeuille cryptographique. Lors des tests de validation, cette vulnérabilité a permis d’extraire avec succès des données sensibles depuis Trust Wallet, un portefeuille d’échange, ainsi que d’autres applications comme Phantom. Les chercheurs indiquent que cette faille pourrait affecter environ 25 % des téléphones Android, notamment ceux équipés de puces MediaTek et utilisant l’environnement d’exécution fiable Trustonic. Charles Guillemet, directeur technique de Ledger, a déclaré que les smartphones n’ont jamais été conçus comme des coffres-forts. Bien que cette vulnérabilité puisse être corrigée par une mise à jour, elle souligne le risque inhérent à stocker des clés sur des appareils non sécurisés, et recommande aux utilisateurs de mettre rapidement à jour leurs correctifs de sécurité.