Donanım cüzdanı üreticisi Ledger, güvenlik ekibi aracılığıyla MediaTek işlemcili Android telefonlarda kripto cüzdan PIN'leri ile özel anahtarların bir dakikadan kısa sürede ele geçirilmesine olanak tanıyan önemli bir yazılım açığını duyurdu. Bu durum, kullanıcıların dijital varlıklarının güvenliğini tehdit eden ciddi bir risk oluşturuyor.
Ledger'ın Donjon araştırma birimi tarafından keşfedilen bu açık, MediaTek'in güvenli önyükleme zincirindeki bir zayıflığı hedef alıyor. Açıklamalara göre, fiziksel erişimi olan bir saldırgan, telefonu işletim sistemi yüklenmeden önce USB üzerinden bağlayarak Android'in tam disk şifrelemesini koruyan kriptografik anahtarları çıkarabiliyor.
Açığın Etkisi Nedir?
Bu anahtarlar kullanılarak, depolama alanının tamamı çevrimdışı ortamda çözülebiliyor. Araştırmacılar, bu güvenlik açığının Android telefonların yaklaşık yüzde 25'ini etkileyebileceğini belirtti. MediaTek çipleri ile Trustonic'in güvenilir yürütme ortamını kullanan telefon modelleri bu risk altında yer alıyor.
Ledger Baş Teknoloji Sorumlusu Charles Guillemet, akıllı telefonların dijital kasa olarak tasarlanmadığını vurgulayarak, kullanıcıları MediaTek ve telefon üreticilerinin sunduğu en güncel güvenlik yamalarını yüklemeye çağırdı. Guillemet, kripto varlıkların bir telefonda tutulması durumunda güvenliğin, o telefonun donanımı, yerleşik yazılımı veya yazılımındaki en zayıf halka ile doğrudan bağlantılı olduğunu ifade etti.
Güvenlik Açığının Yayılması ve Önlemler
Donjon ekibi, bu araştırmayı kötü niyetli aktörlerin açıkları istismar etmeden önce sektörün yama geliştirmesine zaman tanımak amacıyla yayımladı. Ekip, daha önce de Android çiplerini etkileyen ve rakip cüzdanlardaki PIN atlatma saldırılarını içeren güvenlik açıklarını kamuoyuyla paylaşmıştı. Bu durum, kullanıcıların cüzdanlarının güvenliğini sağlamak adına dikkatli olmaları gerektiğini ortaya koyuyor.
Açıklama, saldırganların kullanıcı cüzdanlarını geniş ölçekte hedef almaya devam ettiği bir dönemde yapıldı. Blockchain istihbarat firması TRM Labs'ın raporuna göre, özel anahtar hırsızlıkları, seed ifadesi ele geçirme ve arayüz saldırıları gibi altyapı odaklı saldırılar, 2025'in ilk yarısında çalınan 2,1 milyar doların yüzde 80'inden fazlasını oluşturdu.
Kripto Hırsızlıkları ve Artan Tehditler
Chainalysis verilerine göre, yıl genelinde kripto hırsızlıklarından kaynaklanan kayıplar 3,41 milyar doları aştı. Firma, kişisel cüzdan ele geçirme vakalarında belirgin bir artış gözlemledi. Bu kategorinin toplam çalınan değer içindeki payı 2022'de yüzde 7,3 iken, 2024'te yüzde 44'e çıkarak 158.000'den fazla vakayı etkiledi.
Bu gelişmeler, kripto para dünyasında güvenlik önlemlerinin artırılması gerektiğini bir kez daha gözler önüne seriyor. Kullanıcıların, cüzdanlarının güvenliğini sağlamak ve olası saldırılara karşı önlem almak için dikkatli olmaları önem arz ediyor.
