MediaTek işlemcilerinde daha önce varsayılandan daha ciddi güvenlik açıkları olabilir

Trustonic, MediaTek işlemcilerinde bir güvenlik açığı oluşturma iddialarını reddediyor

Trustonic siber güvenlik uzmanları, yazılımlarının MediaTek çipli cihazlarda tespit edilen eksikliklerin kaynağı olmadığını belirtti. Bu durum, daha önce tahmin edilenden çok daha geniş bir cihaz yelpazesinin aynı soruna maruz kalabileceğini gösterebilir.

Güvenlik açığının nasıl bulunduğu
- Donjon ekibi (Fransız Ledger şirketi) exploit’i tespit etti.
- Exploit, *Nothing CMF Phone 1* akıllı telefonda gösterildi – saldırı 45 saniye içinde Android yüklemeden, telefonun PC’ye bağlanmasıyla tamamlandı.
- Saldırı sonrası mühendisler PIN kilidi kodu ve cüzdan kurtarma gizli ifadesi gibi hassas verilere erişti.

Trustonic’in masumiyet iddiasının nedeni
1. Ana bileşen – Kinibi
- Trustonic’ın TEE (Trusted Execution Environment) içinde çalışan korunan yazılımı.
- PIN kodları, şifreleme anahtarları ve biyometrik bilgileri korur.
2. Diğer çiplerde test
- Trustonic, aynı yazılım sürümünü kullanan diğer üreticilerin SoC’lerinde Kinibi’nin sorunsuz çalıştığını belirtiyor.
- Dolayısıyla açık yalnızca MediaTek platformuna özgü ve Trustonic’a ait değil.
3. MediaTek güncellemesi
- Şirket, Kinibi güncellemesinin gereksiz olduğunu düşünüyor çünkü MediaTek’in düzeltmeleri problemi çözüyor.

Android pazarına etkisi
- Açık, başlangıçta düşünülenden daha fazla cihazı etkileyebilir; birçok akıllı telefon MediaTek çipleri ve farklı TEE uygulamaları kullanıyor.
- Trustonic, yazılımının tüm MediaTek cihazlarında kullanılmadığını vurgulayarak doğrudan bağlantıya ilişkin suçlamaların dayanıksız olduğunu söylüyor.

Şu anki taraf pozisyonları
- Trustonic: sorumluluk reddi ve problemin yalnızca MediaTek platformunda sınırlı olduğunu kabul.
- Ledger Donjon: şu anda Nothing CMF Phone 1’de Trustonic kullanımına dair ek açıklama yapmadı.