I ricercatori di Ledger hanno scoperto una vulnerabilità in alcuni chip Android che espone i wallet Web3 su dispositivi mobili a rischi di attacchi fisici.

BlockBeats notizia, 4 dicembre, secondo quanto riportato da The Block, Ledger ha dichiarato che recentemente è stata scoperta una vulnerabilità in un processore ampiamente utilizzato negli smartphone Android, mettendo a rischio gli utenti di wallet Web3 basati su software qualora il dispositivo venga fisicamente in possesso di un attaccante. Il team Donjon ha scoperto che un guasto hardware può aggirare i controlli di sicurezza fondamentali e quindi prendere il controllo del chip. Sebbene questa scoperta non influisca sui wallet hardware Ledger, evidenzia il pericolo di affidarsi esclusivamente ai wallet caldi su smartphone per la sicurezza degli asset digitali. Il team ha testato il chip Dimensity 7300 di MediaTek prodotto da TSMC, iniziando a determinare se un'iniezione di guasto elettromagnetico possa compromettere la fase iniziale del processo di avvio.

Utilizzando strumenti open source, hanno iniettato impulsi elettromagnetici temporizzati nella ROM di avvio del chip per ottenere informazioni sul suo funzionamento e identificare così i percorsi di attacco. Successivamente, il team ha aggirato il meccanismo di filtraggio nei comandi di scrittura del chip e sovrascritto l'indirizzo di ritorno nello stack della ROM di avvio, riuscendo così ad eseguire codice arbitrario in EL3 (il livello di privilegio più alto del processore); inoltre, questo attacco può essere ripetuto in pochi minuti. Ledger ha dichiarato che anche i chip per smartphone più avanzati sono vulnerabili agli attacchi fisici e non sono adatti come ambiente per la protezione delle chiavi private, ribadendo l'importanza fondamentale dei componenti di sicurezza per la custodia autonoma degli asset digitali. La vulnerabilità è stata segnalata a MediaTek a maggio e il fornitore ha già informato i produttori interessati.