Гей! Уявіть це: ви втратили свій телефон або він був вкрадений. Ви думаєте: "Страшно, але не критично. У мене є PIN-код, Face ID, і я не зберігав свою фразу для відновлення MetaMask ніде." Здається, що ваші облікові записи в безпеці.

Ну, не зовсім. Дослідники з Ledger лише довели, що фізичний доступ до вашого Android-смартфона = доступ до всіх ваших гарячих гаманців на ньому. Це не про злом програмного забезпечення — це прямий апаратний напад на сам процесор телефону.

Що вони зробили?
Вони взяли популярний чіп MediaTek (знайдений у багатьох середньоцінових смартфонах) і використали електромагнітні імпульси, щоб "зламати" його на найосновнішому рівні — під час запуску. Це як не підібрати замок, а дистанційно перепрограмувати його, щоб відкривати за командою.

Технічна суть (коротко):

  1. Спеціальний пристрій направляє електромагнітні імпульси в чип.

  2. Це викликає збій у найбільш захищеній частині—завантажувальному ROM.

  3. Використовуючи цей збій, зловмисники можуть отримати повний контроль над процесором (найвищий рівень привілеїв, EL3).

  4. Ось і все. Після цього вони можуть легко витягнути приватні ключі з будь-якого встановленого гаманця (Trust Wallet, MetaMask тощо).

Весь процес займає кілька хвилин, а ймовірність успіху, згідно з їхніми даними, становить до 1%. Для зловмисника, який має ваш пристрій, цього більш ніж достатньо.

Чому це важливо для вас і мене?

  • Телефони крадуть і втрачають. Це не якийсь міфічний інтернет-загроза—це повсякденна реальність.

  • Гарячі гаманці на телефонах під загрозою. Ledger чітко заявляє, що їхні апаратні гаманці (та схожі пристрої) не піддаються впливу, оскільки в них є безпечний чип, розроблений спеціально для протидії таким атакам.

  • Виробник чипів (MediaTek) в основному підтвердив: цей чип був створений для споживачів масового ринку, а не для зберігання критично важливих даних. Фінансові операції вимагають спеціалізованого захисту.

Ключовий висновок від дослідників:
Сучасний смартфон є зручним "гаманцем" для щоденних витрат, але не "сейфом" для довгострокових зберігань.
Зберігання значних сум у гарячих гаманцях на вашому телефоні після цього дослідження є величезним ризиком.

Запитання до вас: Як ви розподіляєте свої активи між гарячими та апаратними гаманцями після новин такого роду? Чи довіряєте ви своєму смартфону зберігати значні суми?

#Android #Web3 #crypto