MediaTek 프로세서에는 이전에 예상했던 것보다 더 심각한 취약점이 있을 수 있습니다

트러스노닉은 미디어텍 프로세서에서 취약점을 만들었다는 혐의를 기각합니다

사이버 보안 전문가 트러스노닉은 그들의 소프트웨어가 미디어텍 칩이 장착된 기기에서 발견된 결함의 원인이 아니라고 밝혔습니다. 이는 이전에 예상했던 것보다 더 넓은 범위의 가젯이 같은 문제에 노출되었을 수 있음을 의미합니다.

취약점이 어떻게 발견됐는가
- Donjon 팀(프랑스 회사 Ledger)이 익스플로잇을 확인했습니다.
- 익스플로잇은 *Nothing CMF Phone 1* 스마트폰에서 시연되었습니다 – 해킹은 안드로이드 부팅 없이, 휴대전화를 PC에 연결만 하면 45초 만에 완료되었습니다.
- 공격 후 엔지니어들은 PIN 잠금 해제 코드와 지갑 복구 비밀 문구를 포함한 기밀 데이터에 접근했습니다.

트러스노닉이 무죄를 주장하는 이유
1. 핵심 구성요소 – Kinibi
- 이는 트러스노닉의 보호 소프트웨어로, 스마트폰 TEE(Trusted Execution Environment) 내부에서 동작합니다.
- PIN 코드, 암호화 키 및 생체 인식 정보를 보호합니다.
2. 다른 칩에서의 검증
- 트러스노닉은 Kinibi가 동일 버전 소프트웨어를 사용하는 다른 SoC 제조업체 제품에서도 문제 없이 작동한다고 언급했습니다.
- 따라서 취약점은 미디어텍 플랫폼에만 국한되며, 트러스노닉 자체와는 무관합니다.
3. 미디어텍의 업데이트
- 회사는 Kinibi 업데이트가 필요 없다고 보고 있으며, 미디어텍이 제공하는 패치가 이미 문제를 해결한다고 주장합니다.

Android 시장에 미치는 영향
- 취약점은 초기 추정보다 더 많은 기기에 영향을 줄 수 있습니다. 많은 스마트폰이 미디어텍 칩과 다양한 TEE 구현을 사용하기 때문입니다.
- 트러스노닉은 그들의 소프트웨어가 모든 미디어텍 장치에서 사용되지 않으므로, 제품과 직접 연결된 혐의는 근거 없다고 강조합니다.

현재 입장
- 트러스노닉: 책임 회피 및 문제를 미디어텍 플랫폼에 국한시킴을 인정
- Ledger Donjon: Nothing CMF Phone 1에서 트러스노닉 사용 여부에 대한 추가 의견은 아직 제공되지 않았습니다