Κρίσιμο κενό ασφάλειας σε εκατομμύρια Android, ταμπλέτες και τηλεοράσεις

Η ευπάθεια αποδίδεται σε ένα τσιπάκι που σχεδιάστηκε από την ταϊβανέζικη εταιρεία MediaTek, το οποίο πολλοί κατασκευαστές ηλεκτρονικών συσκευών χρησιμοποιούν στα λειτουργικά συστήματα των προϊόντων τους. Με τον ημιαγωγό αυτό είναι εφοδιασμένο το ένα τέταρτο των smartphone Android που κυκλοφορούν παγκοσμίως. Επομένως ένα στα τέσσερα κινητά με σύστημα Android πρέπει να θεωρείται ευάλωτο σε κακόβουλες κυβερνοεπιθέσεις.

Οι «ηθικοί χάκερ» της Ledger, μιας γαλλικής εταιρείας που ειδικεύεται στα κρυπτονομίσματα, διεξάγουν τακτικά δοκιμές για να αναλύσουν την ασφάλεια διαφόρων ψηφιακών συσκευών και υποδομών. Στο πλαίσιο αυτό των δραστηριοτήτων τους εξέτασαν και τη μνήμη flash του συστήματος Android και εντόπισαν το κενό ασφαλείας στο συγκεκριμένο ημιαγωγό της MediaTek.

Συνολικά 1.366 κυβερνοεπιθέσεις αντιμετωπίστηκαν το 2025 από την Εθνική Υπηρεσία για την Ασφάλεια Συστημάτων Πληροφοριών της Γαλλίας

Αρκούν 45 δευτερόλεπτα
Η ευπάθεια του συστήματος εκδηλώνεται κατά την εκκίνηση του τηλεφώνου, μια φάση που ελέγχεται από το επίμαχο τσιπάκι, όπως σημειώνει ο ρεπόρτερ του «Figaro» Μαρτέν Εζόντ. Κατά τη φάση αυτή οι «ηθικοί χάκερ» του ερευνητικού εργαστηρίου της Ledger κατάφεραν να παρακάμψουν τους συνήθεις ελέγχους ασφαλείας και να αποκτήσουν πρόσβαση στη συσκευή.

«Οι τεχνικοί μας παράκαμψαν την βασική ασφάλεια του τηλεφώνου σε λιγότερο από 45 δευτερόλεπτα», εξήγησε στο δίκτυο Χ ο επικεφαλής ασφαλείας της Ledger, Σαρλ Γκιγιεμέ. Από εκεί και μετά οι τεχνικοί μπορούσαν να έχουν πρόσβαση σε προσωπικά δεδομένα του ιδιοκτήτη του τηλεφώνου, όπως σε μηνύματα, σε φωτογραφίες, αλλά και σε κωδικούς ΡΙΝ.

Σε ό,τι αφορά τους κωδικούς ΡΙΝ, ο Γκιγιεμέ είπε ότι, ενώ υπήρχε ένα πρόσθετο μέτρο ασφαλείας για τις τραπεζικές πληροφορίες, οι γνώστες είχαν τη δυνατότητα να το παρακάμψουν εύκολα. Και εν προκειμένω οι «γνώστες» είχαν ήθος και αρχές. Αν πρόκειται για κακόβουλους χάκερ τι γίνεται;

«Όπως πράττει πάντα, η Ledger ακολούθησε και σ’ αυτή την περίπτωση μια αυστηρή διαδικασία υπεύθυνης αποκάλυψης με τους αρμόδιους προμηθευτές, οι οποίοι προέβησαν στην κυκλοφορία ενημερώσεων ασφαλείας», τόνισε στο X το στέλεχος της Ledger, διευκρινίζοντας ότι μόλις εντοπίστηκε το πρόβλημα οι ερευνητικές ομάδες της γαλλικής εταιρείας ενημέρωσαν δίχως χρονοτριβή τους συναδέλφους τους στη MediaTek.

Ανεπαρκείς δικλίδες ασφαλείας
«Στις 5 Ιανουαρίου 2026 η MediaTek έστειλε μια ενημέρωση ασφαλείας στους κατασκευαστές συσκευών προκειμένου να διορθωθεί το κενό ασφαλείας. Ωστόσο στο κατακερματισμένο οικοσύστημα των smartphone είναι απίθανο το πρόβλημα να εξαφανιστεί από τα εκατομμύρια των συσκευών που έχουν επηρεαστεί», σημειώνει ο ρεπόρτερ του «Figaro».

Για τον Σαρλ Γκιγιεμέ η αποκάλυψη της Ledger αποτελεί περαιτέρω απόδειξη της ανεπάρκειας των δικλίδων ασφαλείας που προστατεύουν τα προσωπικά δεδομένα στις έξυπνες φορητές ηλεκτρονικές συσκευές. «Αυτό μας υπενθυμίζει για άλλη μια φορά ότι τα smartphone δεν έχουν σχεδιαστεί με ασφάλεια. Ακόμα και όταν είναι απενεργοποιημένα, τα δεδομένα των χρηστών συμπεριλαμβανομένων των PIN και των προσωπικών κωδικών μπορούν να υποκλαπούν σε λιγότερο από ένα λεπτό», τονίζει ο Γάλλος ειδικός στα θέματα κυβερνοασφάλειας.

Ο Γκιγιεμέ έκρινε απαραίτητο να διευκρινίσει μέσω του X ότι η εταιρεία του, η Ledger, έκανε τις δοκιμές ασφάλειας στα λογισμικά συστήματα των κινητών τηλεφώνων «όχι για να διαδώσει φόβο και να τρομοκρατήσει τους κατόχους smartphone, αλλά για να μπορέσει ο κλάδος να διορθώσει το κενό ασφαλείας προτού το εκμεταλλευτούν οι κακόβουλοι εισβολείς».

Με τα κρούσματα ξένων παρεμβάσεων, τις κλοπές εμπιστευτικών και προσωπικών πληροφοριών, τις διαβόητες επιθέσεις ransomware, ασφάλεια των δεδομένων έχει αναδειχθεί τα τελευταία χρόνια ως κεντρικό ζητούμενο για τις εταιρείες υψηλής τεχνολογίας. Όπως σημειώνει η «Le Figaro», 1.366 κυβερνοεπιθέσεις αντιμετωπίστηκαν το 2025 από την Εθνική Υπηρεσία για την Ασφάλεια Συστημάτων Πληροφοριών της Γαλλίας (ANSSI).

Πηγή: OT.gr