Possono esserci vulnerabilità più gravi nei processori MediaTek di quanto si pensasse in precedenza

Trustonic respinge le accuse di aver creato una vulnerabilità nei processori MediaTek

Gli esperti di sicurezza informatica di Trustonic hanno affermato che il loro software non è la fonte delle lacune riscontrate nei dispositivi con chip MediaTek. Ciò potrebbe significare che un più ampio spettro di gadget sia stato colpito dalla stessa problematica rispetto a quanto precedentemente ipotizzato.

Come è stata scoperta la vulnerabilità
- Il team Donjon (azienda francese Ledger) ha identificato l’exploit.
- L’exploit è stato dimostrato sullo smartphone *Nothing CMF Phone 1* – l’intrusione è terminata in 45 secondi senza avviare Android, semplicemente collegando il telefono al PC.
- Dopo l’attacco gli ingegneri hanno ottenuto accesso a dati riservati: codice PIN di sblocco e frase segreta per il recupero del portafoglio.

Perché Trustonic sostiene la propria innocenza
1. Componente chiave – Kinibi
- È un software protetto da Trustonic, operante all’interno della TEE (Trusted Execution Environment) dello smartphone.
- Garantisce la protezione dei codici PIN, delle chiavi di cifratura e delle informazioni biometriche.
2. Verifica su altri chip
- Trustonic osserva che Kinibi funziona senza problemi sui prodotti di altri produttori SoC che utilizzano la stessa versione del software.
- Di conseguenza, la vulnerabilità è legata esclusivamente alla piattaforma MediaTek, non al software Trustonic stesso.
3. Aggiornamento da MediaTek
- L’azienda ritiene l’aggiornamento di Kinibi superfluo, poiché le correzioni fornite da MediaTek risolvono già il problema.

Cosa significa per il mercato Android
- La vulnerabilità potrebbe interessare più dispositivi di quanto inizialmente pensato, dato che molti smartphone utilizzano chip MediaTek e varie implementazioni della TEE.
- Trustonic sottolinea che il loro software non è impiegato in tutti i modelli di dispositivi MediaTek, quindi le accuse di una correlazione diretta con il loro prodotto sono infondate.

Posizione attuale delle parti
- Trustonic: rinuncia a responsabilità e riconoscimento del fatto che il problema sia localizzato sulla piattaforma MediaTek.
- Ledger Donjon: finora non hanno fornito ulteriori commenti sul tema dell’utilizzo di Trustonic nel Nothing CMF Phone 1.