Kyseinen haavoittuvuus, viralliselta nimeltään CVE-2026-20435, kohdistuu MediaTekin järjestelmäpiireihin, joissa käytetään Trustonicin Trusted Execution Environment (TEE) -ympäristöä. TEE:tä käytetään suojaamaan mm. kännykästä löytyviä PIN-koodeja, tallennustilan avaimia sekä kryptolompakoiden palautuslausekkeita, joiden avulla lompakon omistajuus voidaan siirtää. Tutkijoiden mukaan hyökkäys voidaan toteuttaa jo ennen kuin Android-käyttöjärjestelmä ehtii käynnistyä, ja se vaatii vain lyhyen fyysisen yhteyden puhelimen ja tietokoneen välille USB-kaapelin avulla.
Ledgerin teknologiajohtaja Charles Guillemetin mukaan (linkki vie X/Twitteriin) hyökkäysmenetelmässä puhelin kytkettiin tietokoneeseen, minkä jälkeen tutkijat onnistuivat ohittamaan laitteen keskeiset turvamekanismit vain 45 sekunnissa. Tämän seurauksena hyökkääjä pystyi selvittämään laitteen PIN-koodin, purkamaan tallennustilan salauksen ja noutamaan esimerkiksi kryptovaluuttalompakon arvokkaat palautusavaimet. Huolestuttavaa on, että hyökkäys on mahdollinen jopa silloin, kun puhelin on sammutettuna, sillä hyödyntämisen kohteena on nimenomaan kännykän käynnistysprosessissa oleva heikkous.
MediaTek on reagoinut haavoittuvuuteen julkaisemalla ohjelmistokorjauksen tammikuun 2026 alussa. Yhtiö toimitti päivityksen puhelinvalmistajille, mutta lopullinen vastuu korjauksen jakelusta kuluttajille kuuluu laitevalmistajille, kuten Oppolle, OnePlussalle, Xiaomille ja Nothingille. Haavoittuvuus koskee laajasti eri MediaTek-piireillä varustettuja puhelimia, joita käytetään eri hintaluokissa ympäri maailman.
Hyvänä uutisena asiassa on kuitenkin se, että haavoittuvuuden hyväksikäyttö vaatii rikollisilta fyysistä pääsyä puhelimeen.
Jos pohdit, käyttääkö oma puhelimesi MediaTekin järjestelmäpiiriä, voit tarkistaa asian helposti kännyköiden tietokannastamme etsimällä sieltä oman puhelimesi ja tarkistamalla sieltä järjestelmäpiirin kohdan. Toinen suuri Android-kännyköiden järjestelmäpiirien valmistaja on Qualcomm, jonka piirejä ongelma ei siis koske. Oman kännykän päivitykset voi hakea asetusvalikon kautta, josta näkee myös nykyisen tietoturvapäivityksen ajankohdan. Mikäli asennettuna on helmikuun 2026 tai sitä myöhempi päivitys, ei ole syytä huoleen.
Kommentoi artikkelia