- A Ledger revelou uma falha de hardware em chips MediaTek Dimensity 7300 que, com acesso físico ao telefone, permite obter o PIN e a seed phrase da carteira de criptomoedas antes da inicialização completa, via cabo USB.
- A vulnerabilidade fica no boot ROM, código gravado no chip na fábrica e que não pode ser atualizado; não há patch para dispositivos já em uso.
- Em testes, o ataque pode ser realizado em cerca de um segundo por tentativa, chegando ao privilégio EL3 (nível máximo de controle na arquitetura ARM).
- Atinge milhões de aparelhos Android de linha intermediária; não haverá atualização de firmware para os dispositivos afetados.
- A recomendação é migrar valores relevantes de carteiras móveis para hardware wallets; a correção de software deve chegar no boletim de segurança do Android de março de 2026.
O time de segurança da Ledger revelou uma falha de hardware em chips da MediaTek que permite extrair PIN e seed de carteiras criptográficas de aparelhos Android com acesso físico, ainda na fase de inicialização. O problema ocorre sem necessidade de software. A falha está inserida no chip.
O chip em questão é o Dimensity 7300, presente em cerca de 25% dos dispositivos Android. A lista também abrange o Solana Seeker. A MediaTek foi informada sobre a vulnerabilidade em maio de 2025, mas não há correção prevista. Se o dispositivo tiver o chip, ele permanece vulnerável.
A natureza do ataque
A fragilidade fica no boot ROM, código gravado de fábrica que não pode ser atualizado. Pesquisadores da Ledger utilizaram pulsos eletromagnéticos para interromper a inicialização, provocando glitches de tensão que desativam checagens de segurança. O atacante obtém controle no nível EL3.
Com o acesso, toda a partição de dados é descriptografada offline, incluindo chaves privadas, PINs e o ambiente de execução confiável. Em testes, a execução levou cerca de 1 segundo por tentativa, tornando o ataque rápido e repetível.
Impacto e resposta
Milhões de Android intermediários ficam expostos sem solução para quem já está no mercado. A MediaTek não vê grande pertinência em ataques físicos, o que é contestado pelo risco de perdas financeiras significativas. Em 2024, perdas com criptomoedas somaram US$ 3,41 bilhões, com 44% vinculadas a carteiras móveis.
A Ledger recomenda mover fundos para uma carteira de hardware. Um boletim de segurança para Android, com correção de software, está previsto apenas para março de 2026. O episódio levanta dúvidas sobre a viabilidade de projetos cripto móveis.
Perspectiva do setor
Especialistas destacam que plataformas móveis não foram desenhadas como cofres. A vulnerabilidade expõe a fragilidade de modelos diários de custódia de ativos digitais. O debate se amplia sobre infraestrutura necessária para armazenamento seguro em mobile.
Entre na conversa da comunidade