Уязвимость в чипах MediaTek угрожает безопасности 25% Android-смартфонов

Около 25% всех активных Android-смартфонов уязвимы из-за серьёзной ошибки в чипах MediaTek, что касается примерно 875 миллионов устройств. Эта уязвимость позволяет украсть PIN-код менее чем за три минуты, даже если телефон выключен, но подключён к USB во время включения. Проблема получила номер CVE-2026-20435 и поражает множество популярных процессоров бренда MediaTek.

Исследователи из Donjon Hacker Lab компании Ledger обнаружили, что уязвимость даёт злоумышленникам полный доступ к пользовательским данным — сообщения, фотографии и даже ключи от криптокошельков становятся доступными в считанные секунды. Как только хакер получает root-ключ, он может вскрыть шифрование и прочитать зашифрованные файлы офлайн. Весьма тревожно, что можно обмануть биометрию — сделать так, чтобы любое лицо или отпечаток принимался смартфоном как правильный пароль.

Вплоть до января 2026 года MediaTek уже выпустила патч, устраняющий эту проблему, но фрагментация Android-экосистемы мешает его быстрому распространению. Производители смартфонов часто задерживают обновления или вовсе прекращают их выпуск для старых моделей, поэтому многие телефоны останутся уязвимыми длительное время.

Уязвимые чипы MediaTek с ошибкой CVE-2026-20435

Среди затронутых процессоров MediaTek:

• Серии MT6700/MT6800/MT6900: MT6739, MT6761, MT6765, MT6768, MT6781, MT6789, MT6813, MT6833, MT6853, MT6855, MT6877, MT6878, MT6879, MT6880, MT6885, MT6886, MT6890, MT6893, MT6895, MT6897, MT6983, MT6985, MT6989, MT6990, MT6993;
• Серии MT8100/MT8600/MT8700: MT8169, MT8186, MT8188, MT8370, MT8390, MT8676, MT8678, MT8696, MT8793, MT2737.

Эта уязвимость затрагивает смартфоны среднего ценового сегмента от Oppo, Realme, Vivo, Xiaomi и других производителей. Концепт-демо атаки было успешно проведено на Nothing Phone 1, что подчёркивает реальность угрозы.

Причины задержки патчей в Android-смартфонах

MediaTek выпустила патч для устранения уязвимости в январе 2026 года, однако не все пользователи получили обновления из-за особенностей фрагментированной Android-экосистемы. Производители смартфонов сами решают, когда и будут ли предоставлены обновления для конкретных моделей. Из-за этого множество устройств остаются в зоне риска без своевременных обновлений безопасности.

Если ваш телефон не получит мартовское обновление Android 2026 года, рекомендуется не хранить на нём криптовалюту и другие ценные данные. В идеале стоит задуматься о замене устройства на более новый с регулярной поддержкой обновлений безопасности.

Главный технический директор Ledger Чарльз Гийме отметил, что смартфоны изначально не рассчитаны быть защищёнными хранилищами для секретной информации, что подчёркивает нехватку надёжных механизмов безопасности в массовых устройствах.