Инженеры по безопасности Ledger Donjon Шарль Гийом Кристен (Charles Guillaume Cristin) и Лео Бенито (Lеo Benot) сообщили, что уязвимость носит аппаратный характер и затрагивает boot ROM, на физическом уровне встроенный в кремний процессора MediaTek телефонов Solana.
Для получения доступа к данным смартфона инженеры Ledger применили метод электромагнитной инъекции сбоев (EMFI), когда в момент выполнения проверки адресов памяти в boot ROM чипа MediaTek на него подается мощный электромагнитный импульс, что вызывает одиночный бит-флип и меняет логику доступа. Это позволило прочитать весь код boot ROM и SRAM. На основе полученных данных экспертами Ledger была построена ROP-цепочка и выполнен произвольный код на высшем уровне привилегий EL3. Атака заняла всего несколько минут.
По данным экспертов, серия технических экспериментов продемонстрировала физическую незащищенность смартфонов Solana, поскольку этот компонент чипа загружается первым при включении смартфона и не поддается исправлению обновлениями ПО.
В Ledger подчеркнули, что для владельцев смартфонов Solana последствия взлома могут быть весьма критичны, так как на смартфоне хранятся закрытые ключи для доступа к встроенному криптокошельку Solana, и при их компрометации злоумышленник может полностью опустошить кошельки для самостоятельного хранения.
«Нет безопасного способа хранить и использовать закрытые ключи на таких устройствах», — заявили в Ledger.
Производитель чипов MediaTek в ответ на запрос Ledger сообщил, что чипы данного класса устанавливаются в обычных потребительских гаджетах и не предназначены для высокозащищенных финансовых систем.
Ранее эксперты по кибербезопасности Национального института стандартов и технологий США (NIST) сообщили об обнаружении недокументированного функционала микроконтроллера ESP32, который устанавливается в миллиардах устройств Интернета вещей (IoT), включая популярные аппаратные биткоин-кошельки.