875 milioni di telefoni Android a rischio: una falla può aprire il telefono in 45 secondi

Una vulnerabilità critica individuata in un vasto numero di dispositivi mobili Android basati su chip MediaTek ha riacceso l’attenzione su uno dei livelli meno visibili ma più delicati della sicurezza mobile: la catena di avvio del dispositivo. Identificata come CVE-2026-20435, la falla consente a un attaccante con accesso fisico allo smartphone di recuperare informazioni critiche prima ancora che Android inizi il processo di avvio. In alcuni scenari dimostrati dai ricercatori, l’intera procedura richiede appena 45 secondi.

Il problema assume proporzioni rilevanti perché la falla in questione sembra interessare il TEE (Trusted Execution Environment) di Trustonic, su un quarto degli smartphone Android in circolazione: stime attendibili fanno riferimento a circa 875 milioni di dispositivi.

La vulnerabilità nella catena di avvio dei chipset MediaTek

Alla base del problema si trova un errore individuato nel componente chiamato preloader, uno dei primi moduli eseguiti durante l’accensione dello smartphone.

Nei dispositivi basati su SoC MediaTek, la sequenza di boot inizia con il Boot ROM integrato nel chip, che carica il preloader dalla memoria flash e ne verifica l’integrità prima di trasferire il controllo al sistema operativo. Se il controllo non trova un preloader valido oppure rileva condizioni anomale, il firmware può esporre interfacce di comunicazione a basso livello utilizzate per debug e ripristino del dispositivo.

Nel caso della vulnerabilità in questione, una gestione errata delle verifiche consente a un attaccante collegato via USB di interagire con il dispositivo nella fase preliminare.

L’accesso permette di leggere identificatori hardware e dati crittografici associati alla protezione della memoria. Non servono privilegi elevati né interazione dell’utente: basta avere il dispositivo fisicamente a disposizione.

La scoperta arriva dal team di ricerca Donjon di Ledger, un laboratorio noto per l’analisi di sicurezza hardware applicata ai sistemi crittografici. Durante uno studio sulla protezione dei dati nei dispositivi Android, gli esperti hanno dimostrato che un attacco fisico mirato può aggirare i meccanismi di protezione della memoria cifrata dello smartphone.

Sfruttando la debolezza nel codice firmware, un aggressore può accedere a informazioni personali e riservate prima che entrino in funzione le difese dell’utente, come PIN o biometria.

Come funziona l’attacco dimostrato dai ricercatori

La dimostrazione tecnica sviluppata dal laboratorio Donjon mostra una sequenza di compromissione sorprendentemente rapida.

Collegando uno smartphone vulnerabile a un computer tramite USB, l’attaccante sfrutta il comportamento del firmware durante la fase di avvio per estrarre le chiavi crittografiche utilizzate a protezione dello storage. L’intero processo, nel proof of concept pubblico, richiede circa 45 secondi.

Una volta recuperate le chiavi principali, il contenuto dello smartphone può essere decifrato offline. In altre parole, l’attaccante non ha più bisogno di interagire con il dispositivo: basta copiare la memoria e analizzarla su un altro sistema.

A quel punto il codice PIN può essere individuato tramite brute force in tempi molto ridotti, consentendo l’accesso a messaggi, foto, database delle applicazioni e altri dati personali memorizzati nello storage cifrato.

Nel test pubblicato dai ricercatori è stato utilizzato un Nothing CMF Phone 1, ma la dimostrazione riguarda un’ampia gamma di dispositivi che integrano lo stesso tipo di architettura hardware.

Il ruolo del Trusted Execution Environment

Molti smartphone Android affidano le operazioni crittografiche sensibili a un ambiente isolato chiamato TEE: separa le funzioni di sicurezza dal resto del sistema operativo e gestisce operazioni come la generazione delle chiavi, l’autenticazione biometrica e la cifratura dello storage.

Nei chipset coinvolti, il TEE utilizzato deriva dalla piattaforma Trustonic. In teoria, anche un sistema compromesso dovrebbe essere incapace di accedere alle chiavi custodite nel TEE. Tuttavia l’attacco sfrutta una fase ancora precedente al caricamento completo di questo ambiente sicuro. Se un aggressore riesce a manipolare la catena di boot prima che il TEE venga inizializzato, può ottenere le informazioni crittografiche necessarie per decifrare i dati del dispositivo.

I dispositivi e i chipset coinvolti

L’elenco dei processori vulnerabili include numerosi SoC della famiglia MediaTek utilizzati negli smartphone Android di fascia media. Tra questi compaiono modelli appartenenti alle serie MT6700, MT6800 e MT6900, insieme ad altri chip diffusi nei dispositivi economici e in diversi prodotti embedded.

Molti produttori utilizzano questi SoC nei propri dispositivi commerciali. Tra i marchi più diffusi che adottano piattaforme MediaTek figurano Oppo, Xiaomi, Vivo e Realme, oltre a vari produttori di smartphone economici distribuiti a livello globale. La presenza di questi chip in numerosi modelli commercializzati negli ultimi anni spiega il numero così elevato di dispositivi potenzialmente interessati.

Secondo SentinelOne, la vulnerabilità non riguarda soltanto gli smartphone Android. Alcune implementazioni del firmware interessato compaiono anche in sistemi embedded e piattaforme software come Yocto, OpenWrt e Zephyr, utilizzate in dispositivi IoT e appliance di rete.

Patch di sicurezza e rischi reali per gli utenti Android

I ricercatori hanno seguito una procedura di divulgazione responsabile, comunicando la scoperta a MediaTek e al fornitore della piattaforma di sicurezza coinvolta circa 90 giorni prima della pubblicazione. Tale intervallo di tempo ha permesso lo sviluppo di aggiornamenti firmware distribuiti ai produttori dei dispositivi prima che i dettagli diventassero pubblici.

Secondo i bollettini di sicurezza del produttore, le patch sono state fornite agli OEM diversi mesi prima dell’annuncio pubblico. Tuttavia la diffusione effettiva degli aggiornamenti dipende dai singoli produttori e dal ciclo di aggiornamento dei dispositivi, aspetto che – come noto – può variare moltissimo nel mondo Android.

In altre parole, sebbene la patch sia disponibile non è detto che tutti gli smartphone ricevano rapidamente l’aggiornamento. I modelli economici o quelli non più supportati potrebbero non riceverlo affatto.

L’attacco richiede accesso fisico allo smartphone e una conoscenza tecnica significativa. Ciò riduce la probabilità di sfruttamento su larga scala. Tuttavia il rischio diventa concreto in scenari specifici: furto del dispositivo, sequestro fisico durante indagini o attacchi mirati contro obiettivi di alto valore.

La dimostrazione dei ricercatori ha evidenziato un ulteriore elemento critico: l’esposizione delle chiavi private utilizzate dai wallet di criptovalute. Una volta recuperate le chiavi di cifratura del dispositivo, gli stessi wallet software possono diventare a loro volta accessibili, rendendo possibile l’estrazione delle seed phrase associate agli account digitali.

Mitigazioni e controlli consigliati

La contromisura più importante consiste nell’installare l’ultimo aggiornamento di sicurezza disponibile per il proprio dispositivo. Gli utenti dovrebbero verificare la versione delle patch Android utilizzata (nella sezione Info sistema o similare) e controllare se il produttore ha distribuito aggiornamenti firmware successivi alla divulgazione della vulnerabilità.

MediaTek conferma che sono interessati i seguenti SoC (verificare nelle specifiche qual è il chip utilizzato nel proprio smartphone):

MT2737, MT6739, MT6761, MT6765, MT6768, MT6781, MT6789, MT6813, MT6833, MT6853, MT6855, MT6877, MT6878, MT6879, MT6880, MT6885, MT6886, MT6890, MT6893, MT6895, MT6897, MT6983, MT6985, MT6989, MT6990, MT6993, MT8169, MT8186, MT8188, MT8370, MT8390, MT8676, MT8678, MT8696, MT8793

Chi utilizza smartphone vecchi e non più aggiornati dovrebbe valutare con attenzione la presenza di dati di valore. Informazioni “delicate” non dovrebbero essere mantenute su dispositivi che hanno ormai raggiunto la fine del ciclo di vita (end-of-life).