Una grave vulnerabilità nei chip MediaTek montati su centinaia di milioni di dispositivi Android consente a un malintenzionato di accedere ai dati più sensibili dello smartphone in appena 45 secondi. La scoperta, catalogata come CVE-2026-20435, riguarda in particolare la procedura di avvio protetta del processore e colpisce tutti quei telefoni che combinano i chip MediaTek con il Trusted Execution Environment di Trustonic, interessando circa il 25% della base installata di smartphone Android globali.
Il team Donjon di Ledger, specializzato in ricerca sulla sicurezza dei dispositivi, ha individuato il difetto durante l'analisi dei meccanismi di cifratura dei dati nella memoria interna. Dopo una notifica privata a MediaTek e il rispetto del periodo di 90 giorni previsto dal protocollo di divulgazione responsabile, la vulnerabilità è stata resa pubblica. Per dimostrare il rischio concreto, i ricercatori hanno utilizzato un CMF Phone 1 di Nothing equipaggiato con processore Dimensity 7300 5G: collegando il dispositivo a un laptop via USB, prima che il sistema operativo completasse l'avvio, sono riusciti a estrarre le chiavi di crittografia che proteggono l'archivio interno, recuperare il codice PIN e accedere alle seed phrase di portafogli crypto come Trust Wallet, Kraken, Phantom e Rabby.
Il problema emerge dalla scelta architetturale di MediaTek di implementare l'ambiente di esecuzione trusted come isolamento puramente software all'interno dello stesso processore generale, diversamente da quanto fanno i competitor. Apple utilizza il Secure Enclave fisicamente separato, Google ha sviluppato il Titan M2 come chip dedicato, e Qualcomm integra una Secure Processing Unit indipendente. Secondo Charles Guillemet, direttore della sezione tecnica di Ledger, questa differenza è cruciale: mentre i processori general purpose sono progettati per la praticità d'uso, gli elementi di sicurezza dovrebbero essere ottimizzati esclusivamente per proteggere le chiavi crittografiche. Quando i segreti risiedono sullo stesso silicio utilizzato per le operazioni ordinarie, un attacco fisico via USB riesce a oltrepassare le barriere software prima ancora che il sistema operativo carichi il lock screen e le protezioni dello standard USB.
L'esposizione non si limita alle criptovalute. Gli esperti di Donjon hanno chiarito che la vulnerabilità consente l'accesso anche a messaggi privati, foto, credenziali di accesso e dati finanziari memorizzati nel dispositivo. Non è la prima volta che hardware MediaTek mostra falle di questo tipo: a dicembre scorso lo stesso team aveva documentato un'altra vulnerabilità legata a iniezione di guasti mediante impulsi elettromagnetici sempre sul Dimensity 7300, un difetto hardware che non può essere corretto tramite aggiornamenti software.
MediaTek ha confermato di aver distribuito la patch agli OEM il 5 gennaio 2026, ma al momento non è garantito che tutti i costruttori di telefoni effettueranno l'aggiornamento sui propri modelli in commercio. Questo significa che milioni di utenti potrebbero rimanere esposti al rischio per un periodo indefinito, in attesa che i produttori valutino e implementino le correzioni di sicurezza.
