Безопасность – пустой звук
Наличие процессора MediaTek в составе смартфона может означать повышенную угрозу успешной хакерской атаки. Как пишет профильный портал Android Authority, в мобильниках на этих чипах нашли настолько серьезную уязвимость, что с ее помощью можно взломать их менее чем за минуту. Для этого даже не придется включать телефон.
Брешь получила индекс CVE-2026-20435, но у нее пока нет оценки опасности по стандартной 10-балльной шкале. Ее выявили ИБ-специалисты французской компании Ledger, известного в мире производителя аппаратных кошельков для криптовалюты. По их словам, под угрозой миллионы людей по всему миру – количество подверженных риску взлома телефонов на чипах MediaTek исчисляется суммой с шестью нулями.
Проблема затрагивает устройства с технологией доверенной вычислительной среды Trusted Execution Environment (TEE) за авторством компании Trustonic. Иными словами, уязвимость кроется в алгоритмах, которые, напротив, обязаны защищать пользователей от хакеров. Ее эксплуатация позволит злоумышленникам добраться до персональных данных владельца устройства.
Интересные подробности
ИБ-эксперты Ledger не уточнили, в скольких моделях процессоров содержится уязвимость. Вместо них это сделала сама MediaTek, приведя перечень чипов на своем официальном сайте, который, к слову, не открывается с российского IP-адреса.
Исходя из этого списка, опасных процессоров MediaTek насчитывается, по меньшей мере, 35. Это косвенно проливает свет на истинные масштабы проблемы – в перечне довольно много популярных моделей.
Между тем, пока нет официально подтвержденных случаев ее эксплуатации хакерами.
Подчеркнем также, что это не первый случай, когда исследовательская группа Ledger обнаруживает уязвимости в системе безопасности процессоров MediaTek. В 2025 г. они выявили уязвимости чипе MediaTek Dimensity 7300. Он стоит во многих продающихся в России смартфонах, включая Realme 13 и Xiaomi Poco X7.
Россияне тоже в опасности
Перечисленные процессоры MediaTek встречаются в огромном количестве смартфонов. Они используются в мобильниках Xiaomi Redmi, Realme, Tecno, Infinix, Oppo и других узнаваемых брендов, и каждый из них широко известен в России. По данным Android Authority, проблема не обошла стороной и телефоны марок Samsung, OnePlus и Vivo.
Мобильники со «встроенной» уязвимостью действительно есть на российском рынке. Как пишет Android Authority, выявившие ее эксперты проэксплуатировали ее на бюджетном смартфоне CMF Phone 1 by Nothing, который на момент выпуска материала стоил в DNS и других сетях в пределах 21 тыс. руб. за минимальную комплектацию.
На взлом этого мобильника ушло всего 45 секунд. Никакие спецприборы для этого не потребовались.
По воздуху не получится
Чтобы получить доступ к персональным данным в памяти смартфона, потребуется подключить его к компьютеру по кабелю. Другими словами, удаленный взлом не представляется возможным.
Но если завладеть мобильником, то при помощи специального ПО можно выудить из него PIN-код, после чего почти вся информация в его памяти станет доступной для взломщика. Но также можно, не включая устройство, расшифровать его память.
В числе прочего можно украсть сид-фразы из популярных программных криптовалютных кошельков. Это своего рода мастер-ключи, используемые для восстановления криптовалютных кошельков, что делает их чрезвычайно ценными целями для злоумышленников.
Проблема почти решена
Исследователи нашли брешь в чипах MediaTek не позже января 2026 г. и сразу же уведомили об этом MediaTek. Та со своей стороны отреагировала весьма оперативно и 5 января 2026 г. выступила с заявлением о выпуске программного патча, устраняющего CVE-2026-20435.
Теперь все дело за производителями смартфонов, и тут в дело вступает главный недостаток экосистемы Android – ее зашкаливающая фрагментированность. Вендоры перекраивают систему под свои нужды, что делает патчи от одной прошивки непригодными к другой. А также они очень любят прекращать выпуск обновлений безопасности для конкретных моделей смартфонов через два-три года после их презентации.
Таким образом, защиту от CVE-2026-20435 с высокой степенью вероятности получат только самые современные телефоны, которым не более трех лет от роду. Более старые модели, по всей видимости, в большинстве своем обойдутся без этого патча.
Поделиться
