Da Angriffe auf digitale Vermögenswerte zunehmen, ist die Sicherheit mobiler Geräte zu einem kritischen Thema geworden. Für Millionen von Nutzern ist das Smartphone das wichtigste Werkzeug zur Verwaltung von Kryptowährungsportfolios.
Die Axt fiel, als Ledgers Team aus Sicherheitsforschernmit dem Spitznamen „Dungeon“, enthüllte eine schwerwiegende Sicherheitslücke was das Vertrauen in einen großen Teil der globalen Android-Flotte in Frage stellt.
Diese kritische Sicherheitslücke betrifft möglicherweise ein Viertel aller Android-Smartphones, die mit MediaTek-Chips ausgestattet sind – selbst wenn sie ausgeschaltet sind!
Ein Fehler im Herzen des Startups
Die identifizierte Schwachstelle liegt nicht in einer Anwendung oder im Android-Betriebssystem selbst, sondern viel tiefer im sicheren Boot-Mechanismus von MediaTek-Chips.
Um diese Lücke auszunutzen, ist ein physischer Zugriff auf das Terminal erforderlich und einen USB-Anschluss. Der Trick besteht darin, einzugreifen, bevor das System überhaupt startet um Verschlüsselungsschlüssel zu extrahieren die die gesamte Festplatte schützen und anschließend eine vollständige Offline-Entschlüsselung der Daten ermöglichen.
Um den Ernst der Lage zu verdeutlichen, führte das Dungeon-Team einen Proof of Concept durch beeindruckend auf einem Nohing CMF Phone 1-Telefon. In nur 45 Sekunden gelang es den Forschern, den PIN-Code des Geräts wiederherzustellen und den Speicher zu entschlüsseln und extrahieren Sie die Wiederherstellungssätze (Startphrasen) von sechs beliebten Software-Wallets, darunter Trust Wallet, Phantom und Kraken Wallet.
Dieser Vorgang wurde durchgeführt, ohne dass das Gerät überhaupt eingeschaltet werden musste, wodurch die privaten Schlüssel offengelegt wurden Benutzer dramatisch.
Was sind die tatsächlichen Auswirkungen für Benutzer?
Schätzungen sind besorgniserregend: Der Fehler könnte bis zu einem Viertel der Android-Geräte betreffen im Umlauf. Potenziell betroffen sind alle Smartphones, die mit einem MediaTek-Chip ausgestattet sind und die sichere Ausführungsumgebung Trustonic nutzen (TEE).
Viele beliebte Marken wie Samsung, Xiaomi, Motorola und OPPO integrieren diese Prozessoren in einige ihrer Modelle, obwohl noch keine vollständige Liste der anfälligen Geräte erstellt wurde.
Charles Guillemet, technischer Direktor von Ledgerunterstrich eine grundlegende Wahrheit, die oft vergessen wird: Smartphones.War noch nie als Tresor konzipiert„.
Er weist darauf hin, dass die Sicherheit der auf einem Telefon gespeicherten Kryptowährungen ausschließlich vom schwächsten Glied abhängt seiner Hardware- und Softwarekette. Diese Entdeckung verdeutlicht den architektonischen Unterschied zwischen einem Consumer-Chip und einem dedizierten Secure Element, das speziell dafür entwickelt wurde, kryptografische Geheimnisse zu isolieren und zu schützen, selbst im Falle eines physischen Angriffs.
Reaktion und zu ergreifende Maßnahmen der Hersteller
In Übereinstimmung mit Best Practices hat Ledger ein Verfahren zur verantwortungsvollen Offenlegung befolgt von 90 Tagen und informiert MediaTek und Trustonic rechtzeitig vor der Veröffentlichung über die Schwachstelle.
MediaTek bestätigte, bereits im Januar einen Patch entwickelt und verteilt zu haben an Telefonhersteller. Allerdings wurden die Informationen erst im März öffentlich bekannt gegeben, sodass ein Zeitfenster für eine mögliche Enthüllung blieb.
Für Nutzer potenziell betroffener Android-Geräte liegt die Empfehlung auf der Hand: Installieren Sie die neuesten Updates die Sicherheit, die der Hersteller ihres Smartphones bietet, unverzüglich zu nutzen.
Dieser Fall erinnert uns daran, dass Wachsamkeit geboten ist und dass der Wettlauf um Sicherheit ein ewiges Katz-und-Maus-Spiel ist. Es stellt sich erneut die entscheidende Frage nach der besten Strategie für die Sicherheit digitaler Vermögenswerte auf lange Sicht.
