그 주요 MediaTek 보안 결함이 초기 보고보다 더 많은 Android 폰에 영향을 미쳤을 수 있다

Source: Android Authority

TL;DR

• 보안 업체 Trustonic은 MediaTek 칩에서 자사의 소프트웨어가 취약하다는 주장에 반박했습니다.
• 이 문제는 Trustonic뿐만 아니라 MediaTek 프로세서 전반에 걸친 여러 보안 시스템에 영향을 미칠 수 있다고 회사는 Android Authority에 밝혔습니다.
• MediaTek은 1월에 패치를 배포했지만, 영향을 받는 기기의 범위는 아직 명확하지 않습니다.

Discovery

이 문제는 Nothing의 CMF Phone 1에서 Ledger의 Donjon 보안 연구팀에 의해 발견되었습니다. 연구원들은 Android를 부팅하지 않고도 1분 이내에 전화기의 PIN 및 암호화 지갑 시드 구문과 같은 민감한 데이터를 추출할 수 있었습니다.

Trustonic’s Response

Ledger가 문제의 원인이 MediaTek 칩상의 Trustonic Trusted Execution Environment (TEE)라고 제시한 반면, Trustonic은 취약점이 자사의 보안 소프트웨어에 있지 않다고 주장했습니다.

“우리가 같은 버전의 Kinibi를 사용하고 있는 다른 SoC 벤더 제품에서는 이 문제가 존재하지 않습니다.”라고 회사는 Android Authority에 전했습니다.

Kinibi는 전화기의 보호된 환경(TEE) 내에서 실행되는 Trustonic의 보안 소프트웨어로, PIN, 암호화 키, 생체 인증 데이터 및 기타 민감한 정보를 보호합니다.

Trustonic은 추가로 다음과 같이 설명했습니다:

• 자사의 소프트웨어는 다른 칩셋에서는 정상적으로 동작하므로, 약점은 MediaTek 플랫폼에만 국한된 것으로 보입니다.
• “Trustonic은 모든 MediaTek 칩셋에 탑재되어 있지 않으므로, Trustonic만을 명시적으로 지적하는 것은 타당하지 않습니다.”

원래 연구에서는 MediaTek 칩과 Trustonic의 TEE 모두가 문제에 연루되었다고 밝혔습니다. Trustonic의 입장은 이 문제가 다양한 브랜드와 보안 구현을 가진 더 넓은 범위의 Android 기기에 영향을 미칠 수 있음을 시사합니다.

MediaTek Fix

Trustonic은 보안 소프트웨어를 업데이트할 필요가 없었다고 덧붙였으며, MediaTek이 2026년 1월 5일에 기기 제조업체에 패치를 제공했다고 밝혔습니다. 회사는 Nothing CMF Phone 1이 자사의 기술을 사용하는지 여부는 확인을 거부했습니다.

Scope of Impact

정확히 몇 대의 기기가 영향을 받았는지는 아직 명확하지 않습니다. Ledger의 Donjon 팀에 영향 범위에 대해 문의했지만, 기사 작성 시점에는 답변을 받지 못했습니다.