Ledgerin tietoturvatiimi paljasti vakavan Android-laitteiden haavoittuvuuden

12.3.2026

Laitteistolompakoistaan tunnetun Ledgerin tietoturvatiimi Donjon on löytänyt MediaTekin suorittimia käyttävistä Android-puhelimista kriittisen haavoittuvuuden, joka mahdollistaa lompakoiden siemenlauseiden varastamisen jopa alle minuutissa. Haavoittuvuus koskee arviolta neljännestä kaikista Android-laitteista, ja se korostaa mobiililaitteisiin asennettujen ohjelmistolompakoiden tietoturvariskejä.

MediaTekin suorittimista paljastui laitteistotason tietoturva-aukko

Kryptovaluuttalompakoita valmistavan ranskalaisen teknolgiayrityksen Ledgerin sisäinen tietoturvatiimi Donjon julkaisi 11. maaliskuuta 2026 tutkimusraportin, joka paljastaa vakavan tietoturvapuutteen lukuisissa Android-älypuhelimissa. Haavoittuvuus kytkeytyy suosittuihin MediaTekin valmistamiin suorittimiin, erityisesti Dimensity 7300 -malliin. Heikkouden avulla on mahdollista viedä laitteella säilytettävien kryptovaluuttalompakoiden yksityisavaimet erittäin nopeasti.

Ledgerin teknologiajohtaja Charles Guillemet vahvisti lausunnossaan, että tutkijaryhmä onnistui toteuttamaan hyökkäyksen laboratoriossa 45 sekunnissa. Testissä käytettiin Nothingin valmistamaa CMF Phone 1 -älypuhelinta. Hyökkäys ei edellytä laitteen lukituksen avaamista tai edes Android-käyttöjärjestelmän käynnistämistä. Se toteutetaan liittämällä fyysinen USB-kaapeli sammutettuun tai lukittuun puhelimeen. Hyökkääjä voi näin hyödyntää MediaTekin suojatussa käynnistysketjussa (secure boot chain) olevaa aukkoa, poimia laitteen täyden levysalauksen purkuavaimet ja murtaa laitteen PIN-koodin.

Haavoittuvuuden vaikutukset kryptovaluuttamarkkinoille

Haavoittuvuuden potentiaaliset vaikutukset digitaalisten varojen säilytykseen ovat huomattavat. Asiantuntijat arvioivat, että kyseinen tietoturva-aukko saattaa koskettaa jopa 25 prosenttia kaikista Android-puhelimista maailmanlaajuisesti. Riski koskee erityisesti laitteita, jotka käyttävät MediaTekin suorittimien ohella Trustonicin suojattua suoritusympäristöä (Trusted Execution Environment).

Tutkijat onnistuivat konseptitestissään (proof-of-concept) eristämään ja varastamaan arkaluonteiset palautusavaimet useista alan suosituimmista ohjelmistolompakoista. Vaikutuksen alaisina olivat muun muassa Trust Wallet, Kraken Wallet, Phantom, Base, Rabby ja Tangem. Kun hyökkääjä saa haltuunsa lompakon siemenlauseen (seed phrase), hän saa välittömästi täyden hallinnan kyseiseen lompakkoon sidottuihin digitaalisiin varoihin ja voi siirtää ne peruuttamattomasti toiseen osoitteeseen.

Guillemet painotti löydöksen julkistuksen yhteydessä alan perustavanlaatuista haastetta. Hänen mukaansa älypuhelimia ei ole alun perinkään suunniteltu toimimaan digitaalisina holveina. Vaikka puhelimeen asennettavat ohjelmistolompakot madaltavat merkittävästi kynnystä käyttää kryptovaluuttoja niiden helppouden vuoksi, ne ovat täysin riippuvaisia laitteen taustalla toimivasta tietoturvasta. Jos yksikin lenkki puhelimen laitteistossa tai käyttöjärjestelmässä pettää, ohjelmistolompakko ei kykene yksinään suojaamaan käyttäjän varoja.

Älypuhelinten turvallisuuden historiallinen konteksti

Laitteistotason tietoturva-aukot ja kryptovaluuttavarkaudet ovat kasvava globaali ongelma. Lohkoketjuanalytiikkaan erikoistuneiden yritysten keräämien tietojen mukaan lompakoiden kompromettoitumisesta johtuvat varkaudet ovat lisääntyneet voimakkaasti. Pelkästään vuoden 2024 aikana jopa 44 prosenttia kaikesta varastetusta kryptovaluutta-arvosta johtui yksityisavainten ja henkilökohtaisten lompakoiden murtamisesta.

Mobiililaitteiden arkkitehtuuri on rakennettu ensisijaisesti suorituskykyä, monikäyttöisyyttä ja helppoutta silmällä pitäen. Laitteistolompakkovalmistajat ovat pitkään argumentoineeet, että vain täysin verkosta eristetyt ja fyysisesti suojatut erikoissirut voivat taata avainten maksimaalisen turvallisuuden. Donjon-tiimi on aikaisemminkin raportoinut samankaltaisista heikkouksista eri älypuhelinten komponenteissa, mikä osoittaa laitteistotason riskien olevan alan pysyvä ominaisuus. Ohjelmistovirheet voidaan yleensä korjata nopealla verkon yli tapahtuvalla ohjelmistopäivityksellä, mutta suorittimen käynnistysvaiheeseen liittyvät ongelmat vaativat raskaampaa yhteistyötä laitetoimittajien ja ohjelmistokehittäjien kesken.

Korjaustoimenpiteet ja päivitysten jakelu

Ledger toimi alalla vakiintuneiden eettisten standardien mukaisesti ja sovelsi 90 päivän vastuullista julkistamiskäytäntöä (responsible disclosure). Tämä tarkoittaa, että haavoittuvuus (tunnisteeltaan CVE-2025-20435) raportoitiin luottamuksellisesti MediaTekille hyvissä ajoin ennen sen tuomista julkisuuteen, jotta korjaustoimenpiteille jäi riittävästi aikaa.

MediaTek on vahvistanut toimittaneensa tarvittavat ohjelmistolliset korjaustiedostot yhteistyökumppaneilleen ja laitevalmistajille tammikuussa 2026. Tällä hetkellä tilanteen edistyminen on suoraan riippuvainen yksittäisten puhelinvalmistajien omien ohjelmistopäivitysten julkaisuaikatauluista. Loppukäyttäjille tämä tarkoittaa sitä, että uudet tietoturvapäivitykset saapuvat puhelimiin vaiheittain laitemallista ja valmistajasta riippuen.

Samaan aikaan useat ohjelmistolompakoiden kehittäjät, kuten Trust Wallet, ovat esitelleet uusia sisäisiä turvallisuusominaisuuksia lieventääkseen vastaavien hyökkäysvektorien vaikutuksia. Asiantuntijoiden mukaan kyseinen tapaus kiihdyttää todennäköisesti laajaa keskustelua laitteistolompakoiden, moniallekirjoitusteknologioiden (multisig) ja erillisten varmuuskopiointimenetelmien tärkeydestä aktiivisten sijoittajien keskuudessa.

Lähteet

Android Authority – Security researchers broke into a MediaTek-powered Nothing… – 12.3.2026, klo 06.50 (Europe/Helsinki) – https://www.androidauthority.com/mediatek-chip-vulnerability-3648555/

Vastuuvapauslauseke: Tämä artikkeli on tarkoitettu vain tiedotustarkoituksiin. Sitä ei tarjota tai ole tarkoitettu käytettäväksi oikeudellisena, verotuksellisena, sijoitus-, rahoitus- tai muuna neuvona.
Kryptouutiset.net ei vastaa kaupallisen tiedotteen sisällöstä.