Il telefono era spento. Non in standby, non in modalità aereo: spento. Eppure in meno di un minuto il team Donjon di Ledger — la società nota per i wallet hardware per criptovalute — era già in possesso del PIN del dispositivo, aveva decriptato l’archiviazione e aveva estratto le seed phrase dei principali wallet software installati. Il tutto collegando un CMF Phone 1 di Nothing a un laptop, senza mai avviare Android.
La vulnerabilità, identificata come CVE-2026-20435, riguarda i chip MediaTek che utilizzano l’ambiente di esecuzione sicuro Trustonic TEE e potrebbe interessare potenzialmente milioni di smartphone Android. I processori coinvolti alimentano dispositivi di diverse fasce di prezzo di brand come OPPO, vivo, OnePlus e Samsung.
Il problema strutturale del TEE nei SoC MediaTek
Per capire perché la vulnerabilità esiste, occorre guardare all’architettura. I chip MediaTek integrano il Trusted Execution Environment direttamente nel processore principale: una porzione isolata del SoC che gestisce dati e operazioni sensibili tramite meccanismi software e privilegi hardware. Funziona, ma ha un limite intrinseco: il TEE condivide il silicio con il resto del chip.
La distinzione che Ledger porta come elemento critico è strutturale: smartphone come i Google Pixel, gli iPhone e molti dispositivi Snapdragon utilizzano componenti hardware fisicamente separati — rispettivamente Titan M2, Secure Enclave e Qualcomm Secure Processing Unit — che mantengono le informazioni sensibili isolate dal resto del sistema anche in caso di attacco fisico diretto al dispositivo. Una separazione che il TEE integrato nel SoC non può garantire allo stesso modo.
🚨 @DonjonLedger has struck again discovering a MediaTek vulnerability potentially impacting millions of Android phones. Another reminder that smartphones aren’t built for security. Even when powered off, user data – including pins & seeds – can be extracted in under a minute.
— Charles Guillemet (@P3b7_) March 11, 2026
Non è la prima volta che Donjon individua criticità in questa architettura. Lo scorso anno erano emerse vulnerabilità di fault injection nel Dimensity 7300 che potevano portare a una compromissione completa della sicurezza. In quell’occasione MediaTek aveva osservato che quegli attacchi non rientravano nel modello di minaccia previsto per il prodotto.
Patch distribuita a gennaio, aggiornamenti in mano ai produttori
Donjon ha seguito una procedura di responsible disclosure, informando MediaTek prima della divulgazione pubblica. L’azienda ha confermato di aver fornito le correzioni ai produttori di smartphone a inizio gennaio, con l’inserimento della patch nel bollettino di sicurezza di marzo.
In teoria gli aggiornamenti software rilasciati dai vari produttori dovrebbero già includere la correzione. In pratica, la distribuzione degli aggiornamenti di sicurezza Android dipende da ciascun produttore e dalla fascia di prezzo del dispositivo: i modelli di fascia bassa e media ricevono spesso le patch con ritardi significativi o non le ricevono affatto.
Charles Guillemet, CTO di Ledger, ha chiarito l’obiettivo della ricerca su X: non generare allarme, ma consentire all’industria di intervenire prima che la vulnerabilità venga sfruttata attivamente. Al momento non ci sono conferme pubbliche di exploit attivi prima della divulgazione.
