Wataalamu wa usalama wa mtandao kugunduliwa Udhaifu mkubwa umegunduliwa katika simu mahiri za Android zinazotumia chipu za MediaTek. Huruhusu washambuliaji wanaoweza kutoa data nyeti ya mtumiaji hata wakati kifaa kimezimwa.
Suala hili liligunduliwa na wataalamu kutoka idara ya usalama wa mtandao ya Donjon ya Ledger, kampuni ya Ufaransa inayotengeneza pochi za crypto za vifaa. Udhaifu huu unaathiri mamilioni ya vifaa vya Android vyenye vichakataji vya MediaTek vinavyotumia Mazingira ya Utekelezaji Yanayoaminika ya Trustonic (TEE). Wakati wa maonyesho ya unyonyaji huo, wahandisi walikiuka usalama wa msingi wa simu mahiri ya Nothing CMF Phone 1 katika sekunde 45 kwa kuiunganisha kwenye kompyuta mpakato.
Unyonyaji huu hufanya kazi bila kuwasha upya kwenye mfumo wa uendeshaji wa Android. Kuunganisha tu simu janja kwenye kompyuta huondoa kiotomatiki PIN ya kifaa, huondoa kumbukumbu yake, na kutoa manenosiri ya pochi maarufu za sarafu za kidijitali. Mzizi wa tatizo ni Mazingira ya Utekelezaji Yanayoaminika (TEE) kwenye chipu za MediaTek. Eneo hili, ambalo hulinda data nyeti, liko kwenye chipu kuu. Kwa kulinganisha, washindani hutumia vipengele maalum vya usalama: Google Titan M2, Apple Secure Enclave, na Qualcomm Secure Processing Unit. Hutenganisha data nyeti kutoka kwa chipu kuu. Utenganisho huu husaidia kulinda vifaa kutokana na mashambulizi ya kimwili.
Udhaifu uliogunduliwa katika chipu za MediaTek umepewa nambari CVE-2026-20435. Wataalamu wa Donjon walisisitiza kwamba walifuata utaratibu wa ufichuzi unaowajibika na wakawaarifu MediaTek kuhusu suala hilo mapema. Mtengenezaji wa chipu, naye, alituma kiraka kwa watengenezaji wa vifaa mnamo Januari 5, 2026, akiwataka watekeleze katika programu-jalizi ya vifaa vyao pamoja na masasisho yajayo. Tatizo hilo liliathiri vichakataji vilivyotumika katika simu janja za kiwango cha kwanza hadi simu kuu kutoka chapa kama vile Oppo, Vivo, OnePlus, na Samsung. Haikuwezekana kubaini kama udhaifu huo ulitumiwa vibaya na wahalifu wa mtandaoni.
Chanzo:
Chanzo: 3dnews.ru
