Una falla critica scoperta nei processori MediaTek sta facendo tremare il mondo della sicurezza mobile. A scovarla è stato il Ledger Donjon, il laboratorio di cybersicurezza della nota azienda francese Ledger, specializzata in dispositivi hardware per la protezione delle criptovalute. Il problema riguarda potenzialmente il 25% degli smartphone Android in circolazione nel mondo, e la cosa più inquietante è che l’attacco funziona anche a telefono spento. Le puces MediaTek coinvolte si trovano in decine di modelli vendutissimi, tra cui dispositivi di Xiaomi, Oppo, Nokia e il Nothing CMF Phone 1. Non tutte le puces MediaTek sono vulnerabili: il difetto riguarda esclusivamente quelle accompagnate dal TEE (Trusted Execution Environment) di Trustonic, ovvero una zona di esecuzione sicura e isolata all’interno del processore principale.
Come funziona l’attacco: dati rubati in meno di un minuto
I ricercatori di Ledger hanno dimostrato la gravità della situazione in modo piuttosto impressionante. Hanno collegato un Nothing CMF Phone 1 dotato di processore MediaTek Dimensity 7300 a un portatile tramite un semplice cavo USB. In appena 45 secondi, senza nemmeno accendere il telefono, sono riusciti a recuperare il codice PIN, i dati cifrati dello storage interno e le chiavi private di diverse app crypto come Trust Wallet, Kraken Wallet, Phantom, Rabby, Tangem e Base. Con quelle chiavi in mano, svuotare un portafoglio sulla blockchain diventa un gioco da ragazzi.
La falla si annida nella cosiddetta catena di avvio sicuro di Android. Normalmente, prima che il sistema operativo si avvii, il telefono esegue una serie di verifiche interne per assicurarsi che ogni componente sia autentico e non manomesso. Il problema è che un attaccante può infiltrarsi proprio in questa fase, attraverso la porta USB, ed estrarre le chiavi crittografiche che proteggono l’intero sistema di cifratura del dispositivo. A quel punto il contenuto dello smartphone viene decifrato offline, il PIN forzato in pochi secondi con un attacco brute force, e tutte le informazioni delle app diventano leggibili. Nessun allarme di sicurezza scatta durante l’intero processo.
Vale la pena sottolineare che questa vulnerabilità riguarda esclusivamente le puces MediaTek. Gli smartphone Android con processore Snapdragon di Qualcomm, i Google Pixel e gli iPhone dispongono di chip di sicurezza dedicati, molto più difficili da compromettere rispetto al TEE di Trustonic.
MediaTek ha rilasciato una patch, ma ora tocca ai produttori
Charles Guillemet, direttore tecnico di Ledger, non ha usato giri di parole: gli smartphone «non sono progettati per la sicurezza» e non vanno trattati come cassaforti. C’è una differenza enorme tra le puces generaliste, pensate per la comodità d’uso, e gli elementi sicuri progettati specificamente per proteggere dati sensibili. Il consiglio che arriva da Ledger è piuttosto netto: non conservare mai chiavi private legate a criptovalute direttamente su un telefono. Se le crypto sono custodite su uno smartphone, la loro sicurezza dipende dall’anello più debole tra hardware, firmware e software del dispositivo.
Ledger ha seguito un protocollo di divulgazione responsabile, avvisando sia MediaTek che Trustonic prima di rendere pubblica la scoperta. Il 5 gennaio 2026, MediaTek ha messo a disposizione di tutti i costruttori un correttivo per chiudere la falla. Adesso la palla passa ai singoli produttori, che devono distribuire l’aggiornamento sui propri dispositivi. Chi possiede uno smartphone con processore MediaTek dovrebbe verificare di aver installato le ultime patch di sicurezza disponibili.
