Ledger Donjon Revela Vulnerabilidade Inerente em Chip MediaTek: Acesso Mnemónico Requer Apenas 45 Segundos

Para investigadores de segurança da equipa Donjon da Ledger identificaram uma vulnerabilidade significativa no processador MediaTek, que revela riscos inerentes à proteção de ativos criptográficos em dispositivos móveis. A descoberta foi divulgada a 11 de março, após uma análise aprofundada do mecanismo de segurança de arranque (boot) em smartphones Android, com implicações graves para milhões de utilizadores de carteiras digitais.

Mecanismo de Ataque: Exploração da Cadeia de Arranque Segura

A vulnerabilidade aproveita uma falha na cadeia de arranque segura (secure boot chain) do processador MediaTek. Através de uma ligação USB antes do carregamento completo do sistema operativo, um atacante com acesso físico ao dispositivo pode extrair a chave de encriptação que protege o armazenamento de dados. Este processo pode ser concluído em menos de 45 segundos, permitindo a descriptografia total dos dados do dispositivo, incluindo PIN e frase de recuperação (seed phrase) da carteira.

A equipa de investigadores realizou testes de prova de conceito que conseguiram revelar dados sensíveis de aplicações populares como Trust Wallet, Kraken Wallet e Phantom. Estes resultados demonstram que a vulnerabilidade é sistémica e não limitada a um único ecossistema de aplicações.

Alcance do Impacto: Milhões de Dispositivos Android em Risco

A investigação da Donjon estima que esta vulnerabilidade afeta cerca de 25% de todos os dispositivos Android que utilizam chips MediaTek e o ambiente de execução confiável (TEE) Trustonic. Este número reflete a ampla penetração da MediaTek no mercado global de smartphones, especialmente na gama média e de massa. O Trustonic TEE, concebido como uma camada adicional de segurança, não consegue impedir a exploração ao nível do processador.

As implicações comerciais são consideráveis, dado que a maioria dos utilizadores de carteiras de criptomoedas na Ásia e em regiões em desenvolvimento depende de dispositivos com especificações semelhantes.

Risco Inerente ao Armazenamento de Ativos em Dispositivos Móveis

Charles Guillemet, Diretor de Tecnologia da Ledger, oferece uma perspetiva importante sobre as limitações fundamentais dos dispositivos móveis. Segundo ele, os smartphones nunca foram concebidos como cofres de ativos — a sua arquitetura prioriza funcionalidade e conectividade, não segurança absoluta. Esta vulnerabilidade inerente não pode ser completamente eliminada apenas com patches de segurança, refletindo uma troca de design inerente ao ecossistema Android moderno.

Embora a Ledger recomende aos utilizadores que instalem imediatamente os patches de segurança mais recentes fornecidos pelos fabricantes, a mensagem mais profunda é que armazenar chaves criptográficas em dispositivos que não foram especificamente desenhados para segurança de nível empresarial implica riscos que não podem ser ignorados. Esta investigação serve como um lembrete de que carteiras de hardware especializadas — como os produtos Ledger — continuam a ser a opção mais segura para uma gestão séria de ativos digitais.