Исследователи Ledger обнаружили уязвимость в Android-чипах, которая позволяет полностью захватить устройство и ставит под угрозу Web3-кошельки на смартфонах

Исследование Ledger началось с простого вопроса. Что будет, если смартфон попадёт в руки злоумышленника, а владелец держит свои Web3-кошельки только в софте? Ответ оказался неприятным. Команда Donjon выяснила, что один из популярных Android-процессоров позволяет полностью захватить устройство при физическом доступе.

Специалисты показали, что атака с инъекцией аппаратных ошибок может обойти базовые механизмы защиты. После этого злоумышленник получает контроль над чипом. Ledger отдельно подчеркнула, что их собственные аппаратные кошельки уязвимость не затрагивает. Но сам факт подтверждает важную вещь: телефонный горячий кошелёк — не то место, где стоит держать крупные активы.

В отчёте команда описала, как изучала процессор Mediatek Dimensity 7300 (MT6878). Он используется во многих Android-моделях. Обычно внимание исследователей сосредоточено на программных уязвимостях. Однако физические атаки остаются недооценённой угрозой. Тем более что смартфоны постоянно теряются или попадают в чужие руки. Одним из вопросов исследования было то, можно ли нарушить самый ранний этап загрузки устройства через электромагнитную инъекцию ошибок.

Используя собственные инструменты, команда добилась того, что точно поданный электромагнитный импульс нарушал работу boot ROM — самого первого и наиболее привилегированного участка кода в системе. В результате чип начинал выводить линейный дамп внутренней памяти и оперативной области, что дало исследователям полный обзор его поведения. Эти сбои позволили выявить основу для потенциальной атаки.

Как исследователи получили максимальный уровень привилегий чипа

Дальнейшая часть эксперимента показала, что вмешательство в работу процессора возможно даже глубже, чем ожидалось. После того как команда получила доступ к дампу памяти, исследователи решили проверить, удастся ли им изменить ход выполнения кода в момент загрузки. Для этого они использовали электромагнитное воздействие ещё раз, но уже для обхода защиты, связанной с обработкой команд записи.

Манипуляция позволила подменить адрес возврата в стеке boot ROM и направить выполнение в другую точку системы. Когда управление оказалось в их руках, блок управления памятью был отключён, а на уровне EL3 удалось выполнить произвольный код. Это максимальный уровень привилегий, выше которого в процессоре уже ничего нет.

Ledger отмечает, что подобная атака не требует редкого совпадения условий. Благодаря вероятности успеха от 0,1% до 1% её можно повторять до тех пор, пока импульс не сработает. Телефон при этом можно перезагружать бесконечно, что превращает эксперимент в практическую угрозу.

Читайте также: Заявки на пособие по безработице в США обновили трехлетний минимум

Компания подчёркивает, что результаты подтверждают давно обсуждаемый риск. Даже современные чипы, созданные по продвинутым техпроцессам, не защищены от физического воздействия, если атакующий получает устройство в руки. Поэтому смартфоны, по словам команды Donjon, не могут считаться средой, где безопасно хранить приватные ключи. Для этого нужны отдельные защищённые элементы, и аппаратные кошельки остаются единственным корректным решением для само-хранения активов.

Уязвимость передали Mediatek ещё в мае. Производитель быстро отреагировал и уведомил партнёров, чьи устройства могут быть затронуты. В своём ответе компания пояснила, что EMFI не входит в модель угроз для MT6878, поскольку чип предназначен для обычных потребительских гаджетов и не рассчитан на уровень защиты, необходимый финансовым устройствам и аппаратным криптомодулям. Mediatek отдельно подчеркнула, что продукты повышенного класса безопасности обязаны иметь собственные защитные механизмы, как это реализовано в аппаратных криптокошельках.

Рост числа физических атак на владельцев криптовалют

Рост числа нападений на владельцев криптовалют подчёркивает контекст, в котором появился отчёт Ledger. В Европе за последнее время произошло несколько громких инцидентов. Один из них расследуют в Вене, где полиция задержала двух подозреваемых. Следствие считает, что 21-летнего гражданина Украины сначала ограбили и избили, а затем вынудили передать доступ к криптокошелькам и оставили в машине, которую позже подожгли.

Франция столкнулась с похожей волной преступлений ещё в июне. Власти предъявили обвинения 25 участникам группы, куда входили даже несовершеннолетние. Их подозревают в серии похищений, во время которых нападали на владельцев крупных криптопортфелей и заставляли их переводить активы. Летом похожий случай рассматривали в Бельгии. Суд приговорил троих мужчин к двенадцати годам заключения за участие в похищении с требованием выкупа, который был напрямую связан с цифровыми активами жертвы.