Nhóm nghiên cứu Donjon của Ledger vừa phát hiện một lỗ hổng cực nghiêm trọng trong bộ vi xử lý MediaTek Dimensity 7300, được dùng rộng rãi trên nhiều smartphone Android. Lỗi xuất phát từ cơ chế boot ROM, cho phép hacker vượt qua lớp bảo mật sớm nhất của hệ thống.

Bằng kỹ thuật tiêm lỗi điện từ (EMFI) với thiết bị mã nguồn mở, kẻ tấn công có thể:

  • Phá quy trình bảo mật khởi động
  • Ghi đè địa chỉ trả về trong ROM
  • Thực thi mã tùy ý ở mức đặc quyền EL3 – mức quyền cao nhất của chip

Theo Ledger, “cuộc tấn công có thể thực hiện trong vài phút” nếu hacker tiếp cận được thiết bị vật lý.

Rủi ro lớn cho người dùng ví Web3 trên điện thoại

Các ví crypto dạng phần mềm (ví nóng) có thể bị đọc private key, chiếm ví, hoặc lấy toàn bộ tài sản nếu điện thoại chứa lỗ hổng bị tấn công vật lý.

Khuyến cáo từ Ledger

  • Không dùng smartphone để lưu private key hay làm ví lưu trữ chính
  • Điện thoại không có secure element, nên không thể chống tấn công phần cứng
  • Để an toàn, hãy dùng ví cứng có secure element (như Ledger)

Ledger nhấn mạnh:

“Ngay cả những chip smartphone tiên tiến nhất cũng dễ bị tấn công vật lý.”

Lời kết

Lỗ hổng lần này thêm một lần nhắc lại sự thật nghiệt ngã: smartphone không phải nơi an toàn để giữ tiền. Trong bối cảnh hacker ngày càng tinh vi và thiết bị di động vẫn thiếu phần cứng bảo mật chuyên dụng, việc chuyển sang ví cứng không chỉ là lựa chọn — mà là yêu cầu bắt buộc nếu bạn muốn bảo vệ tài sản crypto của mình.
Luôn ưu tiên bảo mật trước, vì một sai sót nhỏ có thể trả giá bằng cả ví.