Ledger divulga vulnerabilidade em celulares Android

[sabotag3x]

Comunicado importante para quem tem celular com Android:

@DonjonLedger atuou novamente ao descobrir uma vulnerabilidade da MediaTek que pode afetar potencialmente milhões de celulares Android. Mais um lembrete de que smartphones não são construídos com foco em segurança. Mesmo desligados, dados do usuário — incluindo PINs e seeds — podem ser extraídos em menos de um minuto.

O Ledger Donjon conectou um Nothing CMF Phone 1 a um laptop e violou a segurança fundamental do aparelho em 45 segundos.
Isso tem o potencial de afetar milhões de smartphones Android que usam o TEE da Trustonic e processadores MediaTek.

Sem sequer iniciar o Android, o exploit recuperou automaticamente o PIN do telefone, descriptografou o armazenamento e extraiu as seed phrases das carteiras de software mais populares.

Essa pesquisa destaca uma diferença arquitetural fundamental: chips de uso geral são projetados para conveniência. Secure Elements são projetados para proteção de chaves. Um Secure Element dedicado isola os segredos do restante do sistema, protegendo-os mesmo sob ataque físico.

Como sempre, o Ledger Donjon seguiu um rigoroso processo de divulgação responsável com os fornecedores relevantes, o que permitiu o lançamento de correções de segurança. A MediaTek confirmou que forneceu uma correção aos OEMs em 5 de janeiro de 2026. A vulnerabilidade agora é pública (CVE-2025-20435).
https://nvd.nist.gov/vuln/detail/CVE-2026-20435

Realizamos esse trabalho não para criar medo, mas para que a indústria possa corrigir a vulnerabilidade antes que atacantes tirem proveito dela. É assim que o ecossistema se fortalece. Mais detalhes em breve.

Não sei quais modelos usam esses MediaTek.


Lembrando que recentemente o Google fez um alerta sobre um tal de "Coruna" para quem usa iOS, o CTO da Ledger também falou sobre o assunto: https://x.com/P3b7_/status/2029565063057514768

Resumindo, não usem celular como carteira.

[joker_josue]

Resumindo, não usem celular como carteira.

E sempre que possível, mantenho o dispositivo atualizado, com os últimos lançamentos de updates de segurança.

De facto, muitos podem pensar que um smartphone antigo é bom para fazer de wallet, porque esta sempre em casa e ninguém liga. Mas, o problema pode estar mesmo, no momento que a pessoa liga o smartphone para confirmar aquela transação.

[alexrossi]

Mediatek ta na grande maioria de dispositivos de faixa baixa Android, especialmente aqueles que não sao de marcas famosas (por ex. Motorola, samsung geralmente usam a serie snapdragon da Qualcomm)

[bitmover]

Resumindo, não usem celular como carteira.

Resumindo 2: melhor ledger é  a nano s  que nao tem suporte pra celular nem pra seed recovery 

Mediatek ta na grande maioria de dispositivos de faixa baixa Android, especialmente aqueles que não sao de marcas famosas (por ex. Motorola, samsung geralmente usam a serie snapdragon da Qualcomm)

Eu comprei um mini pc que tem uma placa media tek que so ta me dando dor de cabeca tambem....

[mikel_012]

E sempre que possível, mantenho o dispositivo atualizado, com os últimos lançamentos de updates de segurança.

De facto, muitos podem pensar que um smartphone antigo é bom para fazer de wallet, porque esta sempre em casa e ninguém liga. Mas, o problema pode estar mesmo, no momento que a pessoa liga o smartphone para confirmar aquela transação.

É possivel ter segurança se você manter o celular totalmente desconectado e só usar pra fazer recebimentos e envios, e manter em um local seguro dentro de casa.

O problema surge quando você usa o celular para navegar nas redes sociais e entrar em outros sites, por que abre brecha para que alguma vulnerabilidade roube as moedas.

Não é seguro igual uma carteira feita para isso que mesmo roubada fisicamente ainda precisa do PIN e não tem esse problema do tópico, mas é melhor do que usar uma carteira no computador do dia a dia.

[Forsyth Jones]

E sempre que possível, mantenho o dispositivo atualizado, com os últimos lançamentos de updates de segurança.

De facto, muitos podem pensar que um smartphone antigo é bom para fazer de wallet, porque esta sempre em casa e ninguém liga. Mas, o problema pode estar mesmo, no momento que a pessoa liga o smartphone para confirmar aquela transação.

É possivel ter segurança se você manter o celular totalmente desconectado e só usar pra fazer recebimentos e envios, e manter em um local seguro dentro de casa.

O problema surge quando você usa o celular para navegar nas redes sociais e entrar em outros sites, por que abre brecha para que alguma vulnerabilidade roube as moedas.

Não é seguro igual uma carteira feita para isso que mesmo roubada fisicamente ainda precisa do PIN e não tem esse problema do tópico, mas é melhor do que usar uma carteira no computador do dia a dia.

Um celular básico pra intermediário custa em média de R$1300 - R$2000, uma hardware wallet atualizada custa nessa faixa aí, vale mais a pena ir direto na hardware wallet se for usar só pra carteira.

Eu tenho um tablet s10 plus da samsung com processador mediatek, que merda hein, mas parece que precisa ter acesso físico ao dispositivo pra explorar a vulnerabilidade.

Espero que seja uma vulnerabilidade a nível de software, pois daria pra corrigir via atualização de sistema, agora se for a nível de hardware, aí é só comprando um aparelho mais atualizado ou sem mediatek mesmo.

[mikel_012]

Um celular básico pra intermediário custa em média de R$1300 - R$2000, uma hardware wallet atualizada custa nessa faixa aí, vale mais a pena ir direto na hardware wallet se for usar só pra carteira.mesmo.

Quem faz essas carteiras em um celular antigo dificilmente vai comprar um celular para isso. A ideia é usar um celular antigo que você nem usa mais, que serve só de peso de papel

Eu tenho dois celulares, um é antigo e super lento e eu poderia usar ele para guardar algumas criptomoedas pois não faz mais sentido usar no dia a dia. Outra ideia é usar de celular de ladrão pra levar na rua. Brasil

[alegotardo]

Resumindo, não usem celular como carteira.

E sempre que possível, mantenho o dispositivo atualizado, com os últimos lançamentos de updates de segurança.

De facto, muitos podem pensar que um smartphone antigo é bom para fazer de wallet, porque esta sempre em casa e ninguém liga. Mas, o problema pode estar mesmo, no momento que a pessoa liga o smartphone para confirmar aquela transação.

Eu acho que isso é uma escolha arriscada!
A tecnologia evolui mais rápido e da mesma forma as vulnerabilidades também são descobertas e até mesmo em aparelhos "atualizados" as vezes um patch de segurança demora muito tempo para chegar até o usuário final, imagina então um aparelho que é ligado de vez em quando e que já tem anos de fabricação.

O aparelho é antigo, mas o browser, sites e softwares que você usa/instala para movimentar essa carteira são atualizados e trazem os riscos.
Pra quem tem uma quantia relevante de dinheiro, vale muito a pena investir em uma hardware-wallet, essa sim é a forma segura de manter os bitcoins em cold-wallet.

[joker_josue]

Eu tenho um tablet s10 plus da samsung com processador mediatek, que merda hein, mas parece que precisa ter acesso físico ao dispositivo pra explorar a vulnerabilidade.

Espero que seja uma vulnerabilidade a nível de software, pois daria pra corrigir via atualização de sistema, agora se for a nível de hardware, aí é só comprando um aparelho mais atualizado ou sem mediatek mesmo.

As vezes estas falhas assustam mais do que parece. Porque como dizes-te é preciso acesso físico ao equipamento. Claro que não deixa de ser uma falha e uma porta de entrada para um bandido.

Mas, normalmente esse tipo de falha só explorada quando existe algum tipo de suspeita de haver um bom potencial. Um bandido não vai roubar um equipamento de qualquer pessoa que encontra, com os riscos associados, e depois perder algumas horas a explorar este tipo de falhas, para ver se encontra algo.

Não estou com isto a justificar ou a minimizar a falha. Apenas a dizer, que as vezes parece que agora estamos desprotegidos, mas não é bem assim. Estamos como estávamos antes de saber.

O seu tablet, não deve sair de casa, e na sua casa só deve entrar pessoas que você conhece. E quando você sai de casa com ele, certamente tem o respetivo cuidado, como sempre teve. Então, tudo na mesma na realidade.

Ao que parece a vulnerabilidade já foi corrigida, por norma resolve-se a nível de software. Por isso é que foi divulgada.
Agora resta saber se as marcas dos equipamentos, lançam essa atualização.