Tuore tietoturvalöydös herättää huolta Android-käyttäjien keskuudessa. Tutkijoiden mukaan jopa 875 miljoonaa puhelinta saattaa olla haavoittuvia kriittiselle virheelle, jonka avulla lukittu laite voidaan murtaa alle minuutissa – jopa silloin, kun puhelin on sammutettuna. Haavoittuvuus koskee monia laitteita, joissa on MediaTek-valmistajan järjestelmäpiiri.
Tietoturva-aukko, tunnukseltaan CVE-2025-20435, löytyi tutkijoilta Ledgerin Donjon-hakkerilaboratoriosta. Hyökkäys kohdistuu puhelimen käynnistysketjuun ennen kuin Android-järjestelmä ehtii edes latautua. USB-yhteyden kautta hyökkääjä voi teoriassa kaivaa esiin salausavaimia, murtaa PIN-koodin ja päästä käsiksi esimerkiksi viesteihin, kuviin tai kryptolompakon siemenlauseisiin.
Haavoittuvuus koskee laajaa joukkoa MediaTekin järjestelmäpiirejä, joita käytetään erityisesti keskihintaisissa ja edullisemmissa Android-puhelimissa. Tällaisia laitteita löytyy esimerkiksi valmistajilta kuten Xiaomi, Oppo, Vivo ja Realme. Yksi tutkimuksessa käytetyistä testilaitteista oli Nothing CMF Phone 1.
Hyviäkin uutisia on: MediaTek on jo julkaissut korjauksen valmistajille tammikuussa. Ongelmana on kuitenkin Android-ekosysteemin hajanaisuus – päivitykset eivät saavu kaikkiin laitteisiin nopeasti, jos ollenkaan. Siksi käyttäjien kannattaa tarkistaa, että puhelimessa on vähintään maaliskuun tietoturvapäivitykset.
Tutkijoiden mukaan tapaus muistuttaa karulla tavalla yhdestä asiasta: älypuhelimia ei ole alun perin suunniteltu digitaalisten salaisuuksien holveiksi. Jos puhelimeen on tallennettu esimerkiksi kryptovaroihin liittyviä avaimia, ne kannattaa siirtää turvallisempaan laitteeseen – ainakin siihen asti, että päivitykset ovat varmasti kunnossa.
