MediaTekのプロセッサには、以前想定されていたよりも深刻な脆弱性が存在する可能性があります

TrustonicはMediaTekプロセッサに脆弱性を作成したという主張を否定する

Trustonicのサイバーセキュリティ専門家は、同社のソフトウェアがMediaTekチップ搭載デバイスで発見された欠陥の原因ではないと述べた。これは、以前に想定されていたよりも広範囲のガジェットが同じ問題に直面している可能性を示唆する。

脆弱性の発見方法
- Donjonチーム（フランス企業Ledger）がエクスプロイトを特定した。
- エクスプロイトはスマートフォン *Nothing CMF Phone 1* で実演され、Androidを起動せずにPCに接続するだけで45秒で侵入が完了した。
- 攻撃後、エンジニアはPINコードとウォレット復元フレーズなどの機密データにアクセスできた。

Trustonicが無罪を主張する理由
1. キーコンポーネント – Kinibi
- これはTrustonicが提供するTEE（Trusted Execution Environment）内で動作する保護ソフトウェア。
- PINコード、暗号鍵、生体情報の保護を担う。
2. 他チップでの検証
- TrustonicはKinibiが同じソフトウェアバージョンを使用する他社SoC製品でも問題なく動作していると指摘。
- したがって、脆弱性はMediaTekプラットフォームに限定され、Trustonic自体には関係ない。
3. MediaTekからのアップデート
- 同社はKinibiの更新を不要とみなし、MediaTek側での修正が問題を解決していると考えている。

Android市場への影響
- 脆弱性は当初想定より多くのデバイスに影響する可能性がある。多くのスマートフォンがMediaTekチップとさまざまなTEE実装を採用しているため。
- Trustonicは自社ソフトウェアがすべてのMediaTekデバイスで使用されていないことを強調し、同製品との直接的な関連性についての指摘は根拠がないと主張。

現在の立場
- Trustonic：責任回避と問題がMediaTekプラットフォームに限定されているという認識。
- Ledger Donjon：Nothing CMF Phone 1でTrustonicを使用したかどうかについて追加コメントはまだ出していない。