Android-feil lar hackere låse opp data på minutter, advarer forskere

Sikkerhetsforskere har avdekket en sårbarhet som påvirker millioner av Android-enheter og kan gjøre det mulig for angripere å hente ut sensitiv informasjon på under ett minutt.

Funnene fremhever økende bekymringer for hvor sikkert smarttelefoner lagrer personlige og økonomiske data.

Sårbarhet avdekket

Forskere fra Ledgers Donjon-sikkerhetsteam oppdaget feilen, ifølge TechRadar, og den påvirker Android-telefoner med MediaTek-brikker som bruker Trustonics Trusted Execution Environment.

Teamet demonstrerte angrepet på en Nothing CMF Phone 1 ved å omgå Android-operativsystemet fullstendig for å få tilgang til beskyttede data.

De klarte å hente ut PIN-koder, dekryptere lagring og trekke ut seed phrases fra kryptolommebøker.

Hvordan angrepet fungerer

Forskerne fant at angripere kan koble til en avslått telefon via USB og hente kryptografiske rotnøkler før operativsystemet starter.

Når disse nøklene er hentet, kan lagrede data dekrypteres offline og PIN-koder angripes med brute force.

Dette kan gi tilgang til meldinger, bilder og sensitiv finansiell informasjon uten noen form for brukerinteraksjon.

Omfanget av risikoen

Sårbarheten påvirker enheter som bruker kombinasjonen av MediaTek og Trustonic, som finnes i omtrent en fjerdedel av alle Android-telefoner globalt.

Feilen, identifisert som CVE-2025-20435, ble offentliggjort etter en standard 90-dagers varslingsprosess.

MediaTek opplyste at de sendte ut rettelser til produsenter i januar 2026, slik at oppdateringer kan rulles ut til berørte enheter.

Sikkerhetsbekymringer

Forskningen forsterker eksisterende bekymringer rundt sikkerheten til smarttelefoner, særlig for brukere som lagrer sensitiv informasjon som kryptolommebøker.

“Denne forskningen bekrefter det vi lenge har advart om: smarttelefoner var aldri ment å fungere som safer. Selv om dette kan patches, oppfordrer vi alle brukere til å installere de nyeste sikkerhetsoppdateringene,” sa Charles Guillemet, teknologidirektør i Ledger.

“Hvis kryptoen din ligger på en telefon, er den bare så sikker som det svakeste leddet i maskinvaren, firmwaren eller programvaren.”

Hva brukere bør gjøre

Eksperter sier at det er avgjørende å installere de nyeste sikkerhetsoppdateringene for å redusere risikoen, siden oppdatert programvare kan blokkere kjente angrep.

Funnene understreker også begrensningene ved å stole utelukkende på smarttelefoner for lagring av svært sensitiv informasjon.

Ettersom mobile enheter blir stadig viktigere i hverdagen, forblir sårbarheter på maskinvarenivå en betydelig utfordring for både produsenter og brukere.

Kilder: TechRadar, Ledger Donjon, MediaTek