Parece que los teléfonos con chipset MediaTek, incluido el Nothing CMF, tienen un serio vulnerabilidad de seguridad. Los investigadores de seguridad del equipo de seguridad de hardware de Ledger, Donjon, han logrado exponer una vulnerabilidad que afecta a millones de dispositivos Android con chip MediaTek. Como demostración de prueba de concepto, el equipo logró eludir por completo la seguridad de un modelo Nothing CMF Phone 1 en solo 45 segundos.
Es una vulnerabilidad crítica de la cadena de arranque que afecta a millones de teléfonos.
Según la empresa, oficialmente denominada CVE-2026-20435, la vulnerabilidad se dirige a procesadores MediaTek específicos, que dependen del entorno de ejecución confiable (TEE) de Trustonic. Los investigadores han aprovechado una debilidad en Android telefonos‘cadena de arranque para eludir protecciones de seguridad fundamentales antes del Androide El sistema operativo podría incluso cargarse completamente.
En particular, el ataque solo requirió una breve conexión física de un Nothing CMF Phone 1 a una computadora portátil a través de USB para romper su seguridad. Ni siquiera requirió malware ni interacción con la pantalla de un teléfono. Una vez conectados, los investigadores evitan las protecciones clave. Pudieron recuperar el código PIN del teléfono, descifrar el almacenamiento y extraer datos confidenciales. Estos también incluyen frases iniciales de billeteras de criptomonedas.
Tras la divulgación responsable del equipo, MediaTek ha desarrollado un parche de software para corregir la vulnerabilidad de seguridad de la cadena de arranque. Según la empresa, MediaTek ya distribuyó estas correcciones de seguridad a los fabricantes de teléfonos u OEM el 5 de enero de 2026. Sin embargo, dado que Mediatek solo ofrece chips, no puede ser responsable de actualizar los productos de consumo directamente. Este trabajo recae en los fabricantes de teléfonos para implementar el parche en los dispositivos afectados.
Vale la pena mencionar que el CTO de Ledger, Charles Guillemet, agregó que esto resalta el problema más amplio. Explicó que los teléfonos priorizan la comodidad y que los fabricantes nunca los diseñaron para funcionar como bóvedas de cifrado. Estos dispositivos siguen siendo vulnerables hasta que los OEM publiquen actualizaciones de seguridad.
Hasta que los fabricantes de teléfonos publiquen estas actualizaciones en los dispositivos afectados, los usuarios podrían seguir expuestos. Mientras tanto, instale las últimas actualizaciones de software tan pronto como estén disponibles.
Fuente: Android Headlines