Archivo - Chip Mediatek Dimensity - MEDIATEK - Archivo
MADRID, 18 Mar. (Portaltic/EP) -
Expertos en ciberseguridad han descubierto una vulnerabilidad en dispositivos Android con procesador MediaTek que permite extraer datos sensibles como el PIN del dispositivo en menos de un minuto, sin embargo, el 'software' de seguridad del Entorno de Ejecución Confiable (TEE)de Trustonic, al que se le atribuye el fallo, niega ser el origen.
Recientemente, investigadores de la compañía de ciberseguridad Ledger Donjon advirtieron sobre una vulnerabilidad relacionada con 'smartphones' con procesador MediaTek que "podría afectar a millones de teléfonos Android" y que permitía extraer datos confidenciales de los usuarios, como el PIN del teléfono y claves de recuperación, incluso estando apagados y en menos de un minuto.
Así lo dio a conocer el CTO de Ledger Donjon, Charles Guillemet, a través de la red social X, donde indicó que la vulnerabilidad, identificada públicamente como CVE-2025-20435, se halló en un 'smartphone' Nothing CMF Phone 1 y que, simplemente conectándolo a un ordenador portátil, lograron ejecutar el ataque y forzar la seguridad básica del 'smartphone' en 45 segundos.
El grupo de ciberseguridad apuntó en ese momento que el problema está relacionado con 'smartphones' Android que utilizan procesadores MediaTek con el Entorno de Ejecución Confiable (TEE) de la compañía Trustonic. Sin embargo, dicha compañía niega estas declaraciones.
El TEE es un área segura dentro del procesador encargada de proteger los datos confidenciales del dispositivo. En el caso de Trustonic utiliza un 'software' de seguridad llamado Kinibi que se ejecuta dentro del TEE para garantizar que los datos permanecen confidenciales, como es el caso del PIN del 'smartphone', las claves de cifrado o la información biométrica.
Teniendo esto en cuenta, la compañía de ciberseguridad ha apuntado a este, según sus investigaciones, el 'software' Kinibi está relacionado con origen de la vulnerabilidad. Por su parte, Trustonic ha aclarado que el problema no está en su 'software' de seguridad.
"Este problema no existe en otros productos de otros fabricantes de procesadores donde utilizamos la misma versión de Kinibi", ha manifestado la compañía en declaraciones a Android Authority, al tiempo que ha apuntado que Trustonic "no está presente en todos los 'chipsets' de MediaTek".
Por tanto, la compañía ha valorado que la posibilidad de que la vulnerabilidad sea específica de la plataforma MediaTek, en lugar de su entorno TEE. Igualmente, Trustonic no ha confirmado al medio citado que el Nothing CMF Phone 1 utilice su tecnología.
Además de todo ello, se ha de tener en cuenta que MediaTek indicó al equipo de Ledger Donjon que ya habían proporcionado parches a los fabricantes de dispositivos el 5 de enero de este año, por lo que la vulnerabilidad debería estar corregida en las actualizaciones de 'software' de los fabricantes de 'smartphones' afectados. No obstante, se desconoce si se trata de un fallo explotado activamente.
Andalucía
Aragón
Cantabria
Castilla-La Mancha
Castilla y León
Catalunya
Extremadura
Galicia
Islas Canarias
Islas Baleares
Madrid
País Vasco
La Rioja
C. Valenciana
Navarra
Asturias
Murcia
Ceuta y Melilla
