MediaTek chipida aniqlangan jiddiy zaiflik: 45 soniyada Android qurilmasi PIN-kodini aniqlash mumkin

Mobil qurilmalar xavfsizligi bilan bog‘liq yangi tadqiqotlar smartfonlar himoyasi haqida jiddiy savollarni kun tartibiga olib chiqdi. Kiberxavfsizlik mutaxassislari tomonidan aniqlangan yangi zaiflik ayrim Android qurilmalarida foydalanuvchi PIN-kodini juda qisqa vaqt ichida aniqlash, qurilma xotirasini shifrdan chiqarish va hatto kriptovalyuta hamyonlaridagi maxfiy ma’lumotlarni qo‘lga kiritish imkonini berishi mumkin.

Mazkur zaiflik MediaTek kompaniyasining ayrim mobil protsessorlarida aniqlangan bo‘lib, u ayniqsa MediaTek Dimensity 7300 chipsetiga ega qurilmalarni nishonga oladi. Tadqiqotchilar ta’kidlashicha, ushbu zaiflikdan foydalanish orqali tajovuzkor taxminan 45 soniya ichida qurilmaning PIN-kodini aniqlashi mumkin.

Zaiflik qayerda joylashgan?

Zaiflik qurilma ishga tushishining eng dastlabki bosqichida ishlaydigan Boot ROM deb ataladigan tizim komponentida aniqlangan.

Boot ROM — bu qurilma yoqilgan paytda ishga tushadigan eng birinchi dasturiy kod bo‘lib, u operatsion tizim (masalan, Android) yuklanishidan oldin ishlaydi. Ushbu kod protsessorning eng yuqori darajadagi apparat imtiyozlari bilan ishlaydi.

Boot ROM’ning muhim jihati shundaki, u protsessor kremniyida doimiy ravishda yozilgan bo‘ladi. Shu sababli undagi asosiy xatoni oddiy dasturiy yangilanish orqali to‘liq bartaraf etish deyarli imkonsiz.

Hujum qanday amalga oshiriladi?

Zaiflikni Ledger kompaniyasining Donjon nomli kiberxavfsizlik tadqiqot guruhi aniqlagan. Mutaxassislar hujumni amalga oshirish uchun Electromagnetic Fault Injection (EMFI) deb ataladigan murakkab apparat usulidan foydalangan.

Bu usul quyidagicha ishlaydi:

qurilma ishga tushish jarayonida protsessorga aniq vaqtga mo‘ljallangan elektromagnit impuls yuboriladi;
impuls protsessor kodining bajarilish jarayonini buzadi;
natijada xavfsizlik tekshiruvlari chetlab o‘tilishi mumkin.

Tadqiqotchilar qurilmani USB kabel orqali kompyuterga ulab, qayta-qayta ishga tushirish jarayonida elektromagnit impuls yuborish orqali tizimning asosiy himoya qatlamlarini chetlab o‘tishga muvaffaq bo‘lgan.

Natijada hujumchi:

qurilmaning PIN-kodini aniqlashi,
shifrlangan xotirani ochishi,
maxfiy ma’lumotlarni qo‘lga kiritishi mumkin.

Amaliy tajriba: Nothing CMF Phone 1

Tadqiqotchilar hujumni amalda sinab ko‘rish uchun Nothing CMF Phone 1 smartfonidan foydalangan.

USB orqali kompyuterga ulangan qurilmada amalga oshirilgan tajriba natijasida:

qurilmaning PIN-kodi tiklangan;
qurilma xotirasi shifrdan chiqarilgan;
kriptovalyuta hamyonlaridagi seed phrase (maxfiy kalitlar) qo‘lga kiritilgan.

Sinov jarayonida quyidagi mashhur kripto hamyon ilovalari ham ta’sirlangan:

Trust Wallet
Kraken Wallet
Phantom Wallet
Rabby Wallet
Tangem Mobile Wallet

Bu esa mobil qurilmalarda kriptovalyuta saqlash xavfsizligi masalasini yana bir bor kun tartibiga olib chiqdi.

Qaysi qurilmalar xavf ostida?

Tadqiqotchilar ma’lumotiga ko‘ra, ushbu chipset ayrim o‘rta narx segmentidagi Android smartfonlarida keng qo‘llaniladi. Ta’sirlanishi mumkin bo‘lgan ishlab chiqaruvchilar qatoriga quyidagilar kiradi:

Realme
Motorola
Oppo
Vivo
Nothing
Tecno

Mutaxassislar hisob-kitobiga ko‘ra, ushbu chipsetdan foydalanadigan qurilmalar Android foydalanuvchilarining taxminan 25 foizini tashkil qilishi mumkin.

MediaTekning javobi

MediaTek kompaniyasi ushbu zaiflik haqida xabar olingandan so‘ng 2026-yil yanvar oyida xavfsizlik yangilanishini chiqargan va qurilma ishlab chiqaruvchilarini ogohlantirgan.

Biroq muammo apparat darajasida (hardware level) joylashgani sababli chiqarilgan yangilanish zaiflikni to‘liq bartaraf etmaydi. U faqat ekspluatatsiya qilish imkoniyatlarini qisman cheklaydi.

Mutaxassislar qanday ogohlantirmoqda?

Charles Guillemet — Ledger kompaniyasining texnik direktori — smartfonlar kriptovalyuta yoki juda muhim maxfiy ma’lumotlarni saqlash uchun to‘liq xavfsiz muhit emasligini ta’kidladi.

U foydalanuvchilarga quyidagi tavsiyalarni berdi:

qurilmalarni doimiy ravishda yangilab borish;
muhim kriptovalyuta aktivlarini oddiy telefonlarda saqlamaslik;
imkon qadar maxsus apparat hamyonlaridan (hardware wallet) foydalanish.

Bunday qurilmalar maxsus xavfsizlik chiplariga ega bo‘lib, ular kriptografik kalitlarni yuqori darajada himoya qilishga mo‘ljallangan.

Mobil qurilmalar kundalik hayotimizning ajralmas qismiga aylangan bo‘lsa-da, ular hali ham mukammal xavfsizlik tizimi emas. MediaTek Dimensity 7300 chipsetida aniqlangan ushbu zaiflik smartfon apparat darajasidagi xatoliklar qanday jiddiy oqibatlarga olib kelishi mumkinligini yana bir bor ko‘rsatdi.

Mutaxassislar foydalanuvchilarga qurilmalarni yangilab borish, maxfiy ma’lumotlarni ehtiyotkorlik bilan saqlash hamda muhim raqamli aktivlar uchun maxsus himoyalangan qurilmalardan foydalanishni tavsiya etmoqda.

Raqamli xavfsizlik bugungi kunda nafaqat dasturiy ta’minotga, balki apparat darajasidagi himoya mexanizmlariga ham bevosita bog‘liqdir.

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

MediaTek chipida aniqlangan jiddiy zaiflik: 45 soniyada Android qurilmasi PIN-kodini aniqlash mumkin

Zaiflik qayerda joylashgan?

Hujum qanday amalga oshiriladi?

Amaliy tajriba: Nothing CMF Phone 1

Qaysi qurilmalar xavf ostida?

MediaTekning javobi

Mutaxassislar qanday ogohlantirmoqda?

Zaiflik qayerda joylashgan?

Hujum qanday amalga oshiriladi?

Amaliy tajriba: Nothing CMF Phone 1

Qaysi qurilmalar xavf ostida?

MediaTekning javobi

Mutaxassislar qanday ogohlantirmoqda?

Cisco IOS XR dasturida aniqlangan jiddiy zaifliklar: hujumchi qurilma ustidan to‘liq nazoratni qo‘lga kiritishi mumkin

Google Chrome’da aniqlangan yangi “Zero-Day” zaifliklar: foydalanuvchilarga zudlik bilan yangilanish o‘rnatish tavsiya etiladi

Apple eski qurilmalar uchun favqulodda xavfsizlik yangilanishini chiqardi