– MEDIATEK – Archivo
MADRID, 18 Mar. (CIBERPRO) –
Recientes investigaciones en ciberseguridad han revelado una vulnerabilidad en dispositivos Android que utilizan procesadores MediaTek. Esta falla permite exfiltrar información sensible, como el PIN del dispositivo en menos de un minuto. Sin embargo, la empresa Trustonic, responsable del ‘software’ de seguridad del Entorno de Ejecución Confiable (TEE), ha rechazado ser la causa del problema.
Investigadores de la firma de ciberseguridad Ledger Donjon han alertado sobre una vulnerabilidad que afecta a millones de teléfonos Android equipados con procesadores MediaTek, permitiendo el acceso a datos cruciales, como el PIN y claves de recuperación, incluso cuando el dispositivo está apagado, y todo esto en menos de un minuto.
El CTO de Ledger Donjon, Charles Guillemet, compartió esta información a través de la red social X, indicando que la vulnerabilidad, conocida como CVE-2025-20435, fue detectada en un ‘smartphone’ Nothing CMF Phone 1. Simplemente conectándolo a un ordenador portátil, lograron ejecutar el ataque y eludir la seguridad básica del dispositivo en 45 segundos.
El equipo de ciberseguridad ha señalado que el inconveniente está relacionado con dispositivos Android que cuentan con procesadores MediaTek que integran el Entorno de Ejecución Confiable (TEE) de Trustonic. No obstante, Trustonic ha desmentido estas afirmaciones.
El TEE es un segmento seguro dentro del procesador que se encarga de salvaguardar la información confidencial del dispositivo. En el caso de Trustonic, este utiliza un ‘software’ de seguridad denominado Kinibi que opera dentro del TEE para asegurar que los datos, como el PIN del dispositivo, claves de cifrado y datos biométricos, permanezcan protegidos.
Con esto en mente, la compañía de ciberseguridad ha señalado que, según sus hallazgos, el ‘software’ Kinibi está directamente relacionado con el origen de la vulnerabilidad. Por su parte, Trustonic ha declarado que el problema no reside en su ‘software’ de seguridad.
«Este inconveniente no se presenta en productos de otros fabricantes de procesadores que utilizan la misma versión de Kinibi«, ha afirmado la compañía en declaraciones a Android Authority, añadiendo que Trustonic «no está presente en todos los ‘chipsets’ de MediaTek».
Por lo tanto, la empresa ha evaluado que la vulnerabilidad podría ser específica de la plataforma MediaTek y no de su entorno TEE. Asimismo, Trustonic no ha confirmado si el Nothing CMF Phone 1 utiliza su tecnología.
Además, MediaTek informó al equipo de Ledger Donjon que ya había distribuido parches a los fabricantes de dispositivos desde el 5 de enero de este año, lo que sugiere que la vulnerabilidad debería estar subsanada en las actualizaciones de ‘software’ de los distintos fabricantes de ‘smartphones’. Sin embargo, no está claro si este fallo ha sido explotado activamente.
