Il peut y avoir des vulnérabilités plus graves dans les processeurs MediaTek que prévu auparavant

Trustonic rejette les accusations de création d’une vulnérabilité sur les processeurs MediaTek

Les spécialistes en cybersécurité de Trustonic ont déclaré que leur logiciel n’était pas la source des défauts découverts dans les appareils équipés de puces MediaTek. Cela pourrait signifier qu’un éventail plus large de gadgets est affecté par le même problème que ce qui était initialement supposé.

Comment la vulnérabilité a été découverte
- L’équipe Donjon (entreprise française Ledger) a identifié l’exploit.

- L’exploit a été démontré sur le smartphone *Nothing CMF Phone 1* – l’intrusion s’est terminée en 45 s sans charger Android, simplement en connectant le téléphone à un PC.

- Après l’attaque, les ingénieurs ont obtenu accès à des données confidentielles : le code PIN de déverrouillage et la phrase secrète de récupération du portefeuille.

Pourquoi Trustonic affirme son innocence
1. Composante clé – Kinibi

- Il s’agit d’un logiciel sécurisé de Trustonic fonctionnant à l’intérieur du TEE (Trusted Execution Environment) du smartphone.

- Il protège les codes PIN, les clés de chiffrement et les informations biométriques.

2. Vérification sur d’autres puces

- Trustonic note que Kinibi fonctionne sans problème sur des produits d’autres fabricants de SoC utilisant la même version logicielle.

- Par conséquent, la vulnérabilité est liée exclusivement à la plateforme MediaTek, et non à Trustonic lui‑même.

3. Mise à jour de MediaTek

- L’entreprise considère la mise à jour de Kinibi comme superflue, car les correctifs de MediaTek résolvent déjà le problème.

Que cela signifie pour le marché Android
- La vulnérabilité pourrait toucher plus d’appareils que prévu initialement, puisque de nombreux smartphones utilisent des puces MediaTek et différentes implémentations du TEE.

- Trustonic souligne que son logiciel n’est pas utilisé dans tous les modèles d’appareils MediaTek, donc les accusations de lien direct avec leur produit sont infondées.

Position actuelle des parties
- Trustonic : renoncement à la responsabilité et reconnaissance que le problème est localisé sur la plateforme MediaTek.

- Ledger Donjon : aucune déclaration supplémentaire n’a encore été fournie concernant l’utilisation de Trustonic dans le Nothing CMF Phone 1.