MADRID 18 mar. (Portaltic/EP) -
Especialistas em segurança cibernética descobriram uma vulnerabilidade em dispositivos Android com processador MediaTek que permite extrair dados confidenciais, como o PIN do dispositivo, em menos de um minuto; no entanto, o software de segurança do Ambiente de Execução Confiável (TEE) da Trustonic, ao qual a falha é atribuída, nega ser a origem.
Recentemente, pesquisadores da empresa de segurança cibernética Ledger Donjon alertaram sobre uma vulnerabilidade relacionada a smartphones com processador MediaTek que “poderia afetar milhões de telefones Android” e que permitia extrair dados confidenciais dos usuários, como o PIN do telefone e senhas de recuperação, mesmo quando os aparelhos estavam desligados e em menos de um minuto.
Isso foi divulgado pelo CTO da Ledger Donjon, Charles Guillemet, através da rede social X, onde indicou que a vulnerabilidade, identificada publicamente como CVE-2025-20435, foi encontrada em um smartphone Nothing CMF Phone 1 e que, simplesmente conectando-o a um laptop, eles conseguiram executar o ataque e forçar a segurança básica do smartphone em 45 segundos.
O grupo de segurança cibernética apontou, na ocasião, que o problema está relacionado a smartphones Android que utilizam processadores MediaTek com o Ambiente de Execução Confiável (TEE) da empresa Trustonic. No entanto, a referida empresa nega essas declarações.
O TEE é uma área segura dentro do processador responsável por proteger os dados confidenciais do dispositivo. No caso da Trustonic, ela utiliza um software de segurança chamado Kinibi, que é executado dentro do TEE para garantir que os dados permaneçam confidenciais, como é o caso do PIN do smartphone, das chaves de criptografia ou das informações biométricas.
Levando isso em consideração, a empresa de segurança cibernética apontou que, de acordo com suas investigações, o software Kinibi está relacionado à origem da vulnerabilidade. Por sua vez, a Trustonic esclareceu que o problema não está em seu software de segurança.
“Este problema não existe em outros produtos de outros fabricantes de processadores onde utilizamos a mesma versão do Kinibi”, afirmou a empresa em declarações à Android Authority, ao mesmo tempo em que destacou que a Trustonic “não está presente em todos os chipsets da MediaTek”.
Portanto, a empresa avaliou que a vulnerabilidade pode ser específica da plataforma MediaTek, e não de seu ambiente TEE. Da mesma forma, a Trustonic não confirmou ao veículo de mídia citado que o Nothing CMF Phone 1 utilize sua tecnologia.
Além de tudo isso, deve-se levar em conta que a MediaTek informou à equipe da Ledger Donjon que já havia fornecido patches aos fabricantes de dispositivos em 5 de janeiro deste ano, portanto a vulnerabilidade deveria estar corrigida nas atualizações de software dos fabricantes de smartphones afetados. No entanto, não se sabe se trata de uma falha explorada ativamente.
Esta notícia foi traduzida por um tradutor automático