Pesquisadores de segurança descobriram uma vulnerabilidade em certos smartphones Android alimentados por processadores MediaTek que pode permitir a atacantes com acesso físico extrair dados sensíveis, incluindo frases-semente de carteiras de criptomoedas, em menos de um minuto.
@DonjonLedger voltou a encontrar uma vulnerabilidade da MediaTek que pode afetar milhões de telemóveis Android. Mais um lembrete de que os smartphones não são feitos para segurança. Mesmo desligados, os dados do utilizador – incluindo PINs e sementes – podem ser extraídos em menos de um minuto.
— Charles Guillemet (@P3b7_) 11 de março de 2026
A falha foi identificada pela unidade de pesquisa de segurança da Ledger, Ledger Donjon, que demonstrou a exploração no Nothing CMF Phone 1. Segundo os investigadores, a vulnerabilidade afeta dispositivos com chipsets MediaTek combinados com tecnologia Trustonic.
Durante os testes, a equipa conectou o telemóvel a um portátil via USB e conseguiu contornar as principais proteções de segurança em cerca de 45 segundos.
Sem sequer ligar ao sistema operativo Android, a exploração conseguiu recuperar automaticamente o PIN do dispositivo, descriptografar o armazenamento e extrair frases-semente armazenadas por várias aplicações populares de carteiras de criptomoedas.
Os investigadores alertaram que, como a exploração mira a camada de segurança de hardware do telemóvel, ela pode ser executada mesmo quando o dispositivo está desligado.
Em teoria, isso poderia expor informações sensíveis armazenadas em aplicações de carteiras de criptomoedas baseadas em software, caso um atacante obtenha acesso físico temporário ao dispositivo.
O problema foi atribuído ao identificador CVE-2025-20435 e pode afetar potencialmente milhões de smartphones Android que dependem de processadores MediaTek e da arquitetura TEE da Trustonic.
A Ledger Donjon afirmou que seguiu um processo de divulgação responsável, notificando os fornecedores afetados antes de publicar as suas descobertas. A MediaTek confirmou que forneceu uma correção de segurança aos fabricantes de telemóveis a 5 de janeiro de 2026, permitindo que os fabricantes implementem patches através de atualizações de software.
A pesquisa destaca uma diferença arquitetural entre chips de smartphones de uso geral e hardware dedicado projetado para proteger segredos criptográficos.
Especialistas em segurança observam que, embora aplicações de carteiras de criptomoedas baseadas em software ofereçam conveniência, componentes de segurança de hardware dedicados, como elementos seguros, proporcionam uma proteção mais forte para chaves privadas e frases-semente, especialmente em cenários de ataques físicos ao dispositivo.
A sua identidade + serviços + pagamentos Web3 num único link. Obtenha hoje o seu link pay3.so.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Utilizadores do Robinhood Visados por uma Campanha de Phishing que Explora a Funcionalidade de Alias com Pontos do Gmail
Mensagem de Gate News, 28 de abril — Os utilizadores do Robinhood foram visados por uma campanha de phishing que explorou a funcionalidade de "alias com pontos" do Gmail, juntamente com fraquezas no processo de criação de contas da plataforma. Os atacantes registaram contas falsas do Robinhood com endereços de e-mail ligeiramente alterados, tirando partido do comportamento do Gmail de ignorar pontos nos nomes de utilizador para encaminhar e-mails gerados pelo sistema para a caixa de entrada de utilizadores legítimos.
GateNews2h atrás
O Malware GlassWorm Faz 73 Extensões “Dormant” no OpenVSX para Roubar Carteiras Cripto
Mensagem do Gate News, 28 de Abril — Investigadores de segurança identificaram 73 extensões maliciosas plantadas pelo malware GlassWorm no registo do OpenVSX, com seis já activadas para roubar as carteiras de criptomoeda e as credenciais dos programadores. As extensões foram carregadas como cópias falsas de listagens legítimas, com
GateNews4h atrás
Hacks de criptomoedas roubaram 17,1 mil milhões de dólares ao longo da última década em 518 incidentes
Notícia da Gate, 28 de abril — As perdas acumuladas com hacks de criptomoedas na última década atingiram 17,1 mil milhões de dólares em 518 incidentes, segundo dados da ChainCatcher.
Os últimos cinco anos foram responsáveis por 15,2 mil milhões de dólares em perdas provenientes de mais de 450 incidentes, enquanto no último ano foram roubados aproximadamente 2,5 mil milhões de dólares em 140+ incidentes.
GateNews12h atrás
Golpe em Cripto Potenciado por IA drena as poupanças de reforma do sénior $300K ; FBI reporta $11B em perdas por fraude em cripto para 2025
Mensagem da Gate News, 28 de Abril — Kyle Holder, uma mulher de 73 anos de Nova Iorque, perdeu a totalidade das suas poupanças de reforma no valor de 300.000 dólares para um esquema de investimento em cripto orientado por IA que começou em Dezembro de 2024. Depois de responder a uma mensagem não solicitada do WhatsApp a publicitar um curso de investimento em cripto, foi colocada em contacto com alguém que se apresentava como uma mãe solteira chamada "Niamh" e como uma representante do serviço ao cliente. Usando uma táctica clássica de fraude de "engorda de porcos", os burlões ajudaram Holder a configurar carteiras cripto e, inicialmente, mostraram ganhos falsos para criar confiança. Ao longo de dois meses, ela transferiu 300.000 dólares através de 14 carteiras diferentes antes de descobrir a fraude. A investigação criminal do IRS, Gabinete de Campo de Nova Iorque, ligou esses 14 endereços a cinco carteiras que desviavam aproximadamente milhão roubado de múltiplas vítimas. Os investigadores acreditam que os criminosos usaram ferramentas de IA disponíveis na dark web para recolher informação pessoal e identificar alvos vulneráveis.
O Centro de Queixas de Crimes na Internet do FBI recebeu 453.000 queixas relacionadas com fraudes cibernéticas em 2025, com perdas totais a atingirem mil milhões. A fraude relacionada com criptomoedas foi a categoria mais dispendiosa, representando mil milhões em perdas em 181.565 queixas. O FBI identificou 22.364 queixas associadas a ferramentas de IA, resultando em perdas combinadas de milhão. Num caso separado, a 23 de Abril, o tribunal federal nas Ilhas Marianas do Norte condenou Sze Man Yu Inos a 71 meses de prisão por um esquema de fraude por fio em bitcoin que visava mulheres mais velhas em Saipan, Guam, Washington e Califórnia, com 769.355 dólares em indemnização (restituição) ordenada.
O Departamento da Cidade de Nova Iorque para a Protecção do Consumidor e dos Trabalhadores alerta que os indicadores comuns de esquemas orientados por IA incluem contacto não solicitado, mensagens que criam urgência e exigências de sigilo. A Comissão Federal do Comércio sublinha que qualquer empresa que solicite pagamentos em criptomoeda não é legítima e que retornos garantidos sobre investimentos em cripto são um grande sinal de alerta. As vítimas podem denunciar a fraude através do portal IC3 do FBI ou do website Report Fraud da FTC; a denúncia atempada melhora as hipóteses de rastrear fundos roubados e identificar os autores.
GateNews12h atrás
Autoridades francesas indiciam 88 pessoas na sequência do aumento de ataques violentos com cripto "ataques com chave inglesa"
Mensagem de notícias Gate, 28 de abril — As autoridades francesas indiciaram 88 pessoas na sequência de um aumento de raptos violentos relacionados com cripto, conhecidos como "ataques com chave inglesa". Nomeados em referência a uma popular banda desenhada web xkcd, os ataques com chave inglesa envolvem criminosos que recorrem à violência, à intimidação ou ao confinamento para obrigar detentores de cripto a revelar suas chaves privadas ou senhas, ...
GateNews13h atrás
A ZetaChain Suspende Transacções Inter-Chain Após um Ataque ao Contrato Inteligente
A rede de camada 1 ZetaChain colocou em pausa as transações entre cadeias no seu mainnet após identificar um ataque ao seu contrato GatewayEVM, segundo a The Block. O incidente afetou apenas as carteiras internas da equipa da ZetaChain, sem fundos dos utilizadores afetados, afirmou a equipa. Segundo os dados da DefiLlama, $300,000
CryptoFrontier14h atrás
