Pesquisadores da Ledger descobriram uma vulnerabilidade em certos chips Android, expondo carteiras Web3 em smartphones ao risco de ataques físicos.

BlockBeats Notícias, 4 de dezembro, de acordo com o The Block, a Ledger afirmou que recentemente foi descoberta uma vulnerabilidade num processador de smartphone Android amplamente utilizado, colocando em risco os utilizadores de carteiras Web3 baseadas em software caso o dispositivo seja fisicamente acedido por um atacante. A equipa Donjon descobriu que a injeção de falhas de hardware pode contornar verificações de segurança essenciais e controlar o chip. Embora esta descoberta não afete as carteiras de hardware Ledger, destaca o perigo de confiar apenas em hot wallets de smartphones para proteger ativos digitais. A equipa testou o chip Dimensity 7300 da MediaTek, produzido pela TSMC, para determinar se a injeção de falhas eletromagnéticas poderia comprometer as fases iniciais do processo de arranque.

Utilizando ferramentas open-source, injetaram pulsos eletromagnéticos temporizados para interferir com a ROM de arranque do chip, obtendo informações sobre a sua execução e identificando caminhos de ataque. Em seguida, a equipa contornou o mecanismo de filtragem nos comandos de escrita do chip e sobrescreveu o endereço de retorno na pilha da ROM de arranque, conseguindo executar código arbitrário em EL3 (o nível de privilégio mais alto do processador), sendo possível repetir este ataque em poucos minutos. A Ledger afirmou que mesmo os chips de smartphone mais avançados são vulneráveis a ataques físicos e não são adequados para proteger chaves privadas, reiterando que componentes de segurança são essenciais para a custódia autónoma de ativos digitais. A vulnerabilidade foi comunicada à MediaTek em maio e o fornecedor já notificou os fabricantes afetados.