Ledger Donjon Ungkap Kerentanan Inheren pada Chip MediaTek: Akses Mnemonik Hanya Perlu 45 Detik

Para peneliti keamanan dari tim Donjon milik Ledger telah mengidentifikasi sebuah celah signifikan pada prosesor MediaTek yang menunjukkan risiko inheren dalam mengamankan aset kripto di perangkat mobile. Temuan ini diungkapkan pada 11 Maret melalui penelitian mendalam terhadap mekanisme keamanan tingkat boot pada smartphone berbasis Android, dengan implikasi serius bagi jutaan pengguna dompet digital.

Mekanisme Serangan: Eksploitasi Secure Boot Chain

Kerentanan yang ditemukan memanfaatkan celah pada rantai boot aman (secure boot chain) prosesor MediaTek. Melalui koneksi USB sebelum sistem operasi dimuat sepenuhnya, penyerang dengan akses fisik ke perangkat dapat mengekstraksi kunci enkripsi yang melindungi penyimpanan data. Proses ini terbukti dapat diselesaikan dalam waktu singkat—kurang dari 45 detik—memungkinkan dekripsi penuh terhadap data perangkat beserta PIN dan frase pemulihan (seed phrase) akun dompet kripto.

Tim peneliti melakukan pengujian proof-of-concept yang berhasil mengungkap data sensitif dari aplikasi dompet populer seperti Trust Wallet, Kraken Wallet, dan Phantom. Hasil ini menunjukkan bahwa kerentanan bersifat sistemik dan tidak terbatas pada satu ekosistem aplikasi saja.

Jangkauan Dampak: Jutaan Perangkat Android Terancam

Penelitian Donjon memperkirakan bahwa kerentanan ini berpengaruh pada sekitar 25% dari seluruh perangkat Android yang menggunakan chip MediaTek dan lingkungan eksekusi tepercaya (TEE) Trustonic. Angka ini mencerminkan penetrasi MediaTek yang luas di pasar smartphone global, khususnya di segmen perangkat menengah dan massal. Trustonic TEE, yang dirancang sebagai lapisan keamanan tambahan, tidak mampu mencegah eksploitasi di tingkat prosesor.

Implikasi komersial sangat besar mengingat mayoritas pengguna dompet kripto di Asia Tenggara dan wilayah berkembang lainnya mengandalkan perangkat dengan spesifikasi serupa.

Risiko Inheren Penyimpanan Aset di Perangkat Mobile

Charles Guillemet, Chief Technology Officer Ledger, mengajukan perspektif penting tentang keterbatasan fundamental perangkat mobile. Menurutnya, smartphone tidak pernah dirancang sebagai brankas aset—arsitekturnya mengutamakan fungsionalitas dan konektivitas daripada keamanan absolut. Kerentanan inheren ini tidak dapat sepenuhnya dihilangkan melalui patch keamanan semata, melainkan mencerminkan trade-off desain yang melekat pada ekosistem Android modern.

Meskipun Ledger menyarankan pengguna segera menginstal patch keamanan terbaru dari produsen perangkat, pesan yang lebih dalam adalah bahwa penyimpanan kunci kripto di perangkat yang tidak dirancang khusus untuk keamanan tingkat enterprise membawa risiko yang tidak bisa diabaikan. Penelitian ini menjadi pengingat bahwa hardware wallet khusus—seperti produk Ledger sendiri—tetap menjadi pilihan lebih aman untuk manajemen aset digital yang serius.