Именно такой эксперимент 11.03.2026 организовали специалисты Ledger Donjon. Для своего исследования они использовали мобильное устройство Nothing CMF Phone 1. Причем сама операционка Андроида даже загрузиться не успела, а в руках экспериментаторов уже были и фразы восстановления, и ключи шифрования, и PIN-код. На все про все исследователям хватило менее минуты.
Как выяснилось, каждому четвертому смартфону, построенному на платформе Андроида, угрожает опасность. Специалисты пронумеровали эту уязвимость кодом CVE-2026-20435.
В чем суть проблемы?
Сотрудники Donjon – службы безопасности французского производителя аппаратных цифрокошельков Ledger – давно занимаются взломом разнообразных устройств. Их задача состоит в том, чтобы докопаться до слабых мест прежде, чем это сделают злоумышленники.
Благодаря их последнему исследованию была протестирована доверенная среда выполнения микросхем MediaTek и выявлена проблема в Trusted Execution Environment. Внутри процессора доверенная среда выполнения представляет собой изолированную область. Она отведена под сбережение шифровальных ключей, биометрических данных, финансовой тайны и прочей ценной информации. Даже сама операционная система, как об этом говорится в теории, не имеет туда доступа.
Слабость обнаружилась в механизме, отвечающем за безопасную загрузку. То есть, проблема кроется в самом процессе, предшествующем старту Андроида – инициализации чипа. Пока операционка еще не загрузилась, у преступников есть возможность заполучить шифровальные ключи, вмешавшись посредством порта USB. И это не удивительно, поскольку мобильные устройства никогда не разрабатывались таким образом, чтобы справляться дополнительно еще и с функцией сейфа.
Как выглядит преступный сценарий?
Атака на устройство невыполнима, если у злоумышленника нет к нему физического доступа. Но, в общем и целом, все выглядит достаточно прямолинейно.
- Сначала преступнику необходимо завладеть выключенным смартфоном.
- Затем он берет шнур USB и соединяет телефон с компьютером. Все это требуется сделать до того как завершится инициация микросхемы и Андроид загрузится.
- После этого извлекаются шифровальные дисковые ключи, поскольку в доверенной среде выполнения присутствует уязвимость.
- Потом в офлайновом режиме производится расшифровка памяти взламываемого устройства.
- В результате злоумышленник за минуту становится владельцем СИД-фразы и ПИН-кода, открывающих путь в криптохранилище жертвы.
Биометрическая защита бесполезна. Преступник наносит удар ниже уровня, на котором она начинает работать. Даже заблокированный экран не имеет значения.
Исследовательской команде без каких-либо трудностей удалось заполучить секретные комбинации от всех криптокошельков, которые тестировались в эксперименте. Ни одному приложению не посчастливилось защититься от атаки, поскольку удар был нанесен именно по слабостям самого железа. Экспериментаторы успешно вскрыли:
- Base Wallet.
- Kraken Wallet.
- Phantom.
- Rabby.
- Tangem.
- Trust Wallet.
Каким смартфонам угрожает опасность?
На сегодняшний день объем поставок мобильных процессоров бренда MediaTek выводит его на позицию крупнейшего производителя в мире. Исследователи обнародовали такую статистику, что в глобальном масштабе уязвимость затрагивает порядка четверти всех смартфонов, работающих на базе Андроида.
Самое прискорбное, что проблема, по сути, может быть гораздо более масштабной. Об этом, по крайней мере, заявили представители компании Trustonic, выпускающей доверенную среду выполнения Kinibi. Именно на нее исследователи и направили свое внимание. Уязвимости могут присутствовать не только в этой технологии, но и в других решениях, базирующихся на микрочипах MediaTek
Что с рекомендациями?
Все происходило на основании стандартной процедуры ответственного раскрытия, о чем MediaTek и были официально осведомлены со стороны Ledger Donjon. Результаты испытания изготовителям смартфонов были направлены 05.01.2026. В марте вышел бюллетень безопасности Андроид, в котором публика была поставлена в известность о наличии уязвимости.
Реальная проблема заключается в том, что, несмотря на то, что производители получили отчет, никто не знает, когда конкретный потребитель сможет пользоваться безопасными системами. Тут все решает сам бренд. Такие флагманы, как OnePlus и Samsung, разумеется, оперативно возьмутся за обновления. Что касается Realme, Tecno и прочих бюджетных моделей, то здесь, вероятно, ждать реакции придется несколько месяцев. Но будут, скорее всего, и такие устройства, которые никогда не апгрейдятся. Нет полной информации и касательно того, воспользовались ли злоумышленники уязвимостью, пока она не была раскрыта публично.
Что можно предпринять пользователю?
Прежде всего, зайдите в настройки и откройте блок «О телефоне». Ваша цель состоит в том, чтобы открыть «Версию Android» и проинспектировать «Уровень исправления системы безопасности». Если у вас стоит мартовский или более поздний вариант, все в порядке. Если нет, примите меры.
Далее вам необходимо произвести установку всех ожидающих обновлений. Любой вышедший апгрейд от производителя следует инсталлировать незамедлительно.
На горячих цифрокошельках смартфона не храните крупные суммы. Говорить о какой-то безопасности мобильных портмоне не имеет смысла. Кроме удобства, они ничего вам не дают. Чтобы держать значительные объемы средств, заведите аппаратные криптохранилища Ledger или Trezor.
Никогда не оставляйте свой мобильник вне поля своего зрения. Чтобы атаковать его таким способом, преступнику нужно взять его в руки. Если устройство находится под присмотром, риск снижается, но телефон всегда могут украсть даже из кармана. Будьте осторожны.
Проблема архитектурного масштаба
Конечно, выйдут обновления, которые сумеют закрыть уязвимость CVE-2026-20435. Однако мы столкнулись с фундаментальной слабостью.
Сегодня изготавливаются удобные универсальные процессоры. Они быстро обрабатывают задачи, интегрируются с операционкой, доступны для разработчиков. Но защитные элементы аппаратных кошельков изолируют секреты от всех окружающих, делая их неприступными в отношении физических покушений. Если вы держите свою СИД-комбинацию на смартфоне с MediaTek, пользуясь приложением, уровень безопасности зависит от того, насколько надежна сама цепочка, ведущая от микросхемы к софту.
Проверка безопасности цифроактивов должна осуществляться отдельно, а не вместе с безопасностью устройства. Есть системы, позволяющие мониторить криптоадреса и транзакционную историю на соответствие нормам AML. Им все равно, на каком устройстве лежат шифровальные ключи. Анализ сетевой активности позволяет отслеживать маршруты передвижения криптодензнаков и оперативно принимать меры, выявляя факт компрометации кошелька злоумышленниками.
Заключение
На текущий момент около 25 процентов всех смартфонов на Андроиде на Земле можно взломать и добраться до их криптокошельков. Преступникам для этого нужен только кабель USB и минута свободного времени. Когда выйдут соответствующие защитные обновления, никто сказать не может.
Ваш мобильник не может быть сейфом для хранения крипты. В принципе, никто никогда и не ставил перед ним такую задачу. Для того чтобы держать большие суммы токенов и койнов, есть специальные устройства, ими и пользуйтесь!