लाखों एंड्रॉयड फोन पर मंडराया बड़ा खतरा, मीडिया टेक चिपसेट में गंभीर सुरक्षा खामी, 45 सेकंड में हैक संभव

लाखों एंड्रॉयड स्मार्टफोन यूजर्स के लिए एक गंभीर सुरक्षा खतरा सामने आया है, जहां रिसर्चर्स ने मीडिया टेक प्रोसेसर वाले डिवाइस में एक बड़ी खामी का पता लगाया है। यह खामी MediaTek के Dimensity और Helio सीरीज चिपसेट में मौजूद है, जो Trustonic के Trusted Execution Environment (TEE) पर निर्भर करती है। रिसर्चर्स ने इसे CVE-2026-20435 के रूप में ट्रैक किया है। इस कमजोरी के कारण हमलावर फोन को बंद होने की स्थिति में भी USB के जरिए कनेक्ट करके 45 सेकंड से कम समय में यूजर का PIN निकाल सकता है, स्टोरेज को डिक्रिप्ट कर सकता है और संवेदनशील डेटा जैसे मैसेज, फोटो तथा क्रिप्टो वॉलेट के सीड फ्रेज निकाल सकता है। यह खामी बूट चेन में मौजूद है, जो डिवाइस के बूट होने से पहले ही सुरक्षा प्रदान करने वाली प्रक्रिया है। प्रभावित डिवाइस में Nothing का CMF Phone 1 शामिल है, जहां रिसर्चर्स ने प्रूफ-ऑफ-कॉन्सेप्ट हमला सफलतापूर्वक किया।

यह खामी मुख्य रूप से उन एंड्रॉयड फोन को प्रभावित करती है जो MediaTek चिपसेट का इस्तेमाल करते हैं, जो बाजार में लगभग 25 प्रतिशत हिस्सेदारी रखते हैं। अनुमान के अनुसार यह 875 मिलियन से अधिक डिवाइस हो सकते हैं, खासकर बजट और मिड-रेंज स्मार्टफोन में जहां MediaTek चिप्स लोकप्रिय हैं। हमला फिजिकल एक्सेस पर आधारित है, यानी हमलावर को फोन को थोड़ी देर के लिए हाथ में लेना पड़ता है और USB केबल से कंप्यूटर से कनेक्ट करना होता है। इसके बाद ऑटोमेटेड टूल्स के जरिए PIN की ब्रूट फोर्स ट्राई की जाती है, बूट चेन की कमजोरी का फायदा उठाकर एन्क्रिप्शन कीज निकाली जाती हैं और डेटा एक्सेस किया जाता है। यह प्रक्रिया फोन के पूरी तरह बूट होने से पहले पूरी हो जाती है, जिससे स्क्रीन लॉक या अन्य सुरक्षा बायपास हो जाती है। रिसर्चर्स ने कई प्रमुख क्रिप्टो वॉलेट ऐप्स जैसे Trust Wallet, Phantom, Kraken Wallet से सीड फ्रेज सफलतापूर्वक निकाले।

रिसर्चर्स Ledger की Donjon टीम से हैं, जो हार्डवेयर सिक्योरिटी पर काम करती है। उन्होंने महीनों की रिवर्स इंजीनियरिंग के बाद इस कमजोरी को खोजा और Nothing CMF Phone 1 (MediaTek Dimensity 7300 चिपसेट वाला) पर टेस्ट किया। हमले में मात्र 45 सेकंड लगे, जिसमें फोन को USB से कनेक्ट करने के बाद डेटा एक्सट्रैक्शन हुआ। MediaTek ने जनवरी 2026 में डिवाइस मेकर्स को पैच जारी किया था, लेकिन एंड्रॉयड की फ्रैगमेंटेड प्रकृति के कारण कई डिवाइस अभी भी अपडेट नहीं मिले हैं। इससे प्रभावित यूजर्स को तुरंत अपने फोन की जांच करनी चाहिए कि वे MediaTek चिपसेट वाले हैं या नहीं। GSMArena या Kimovil जैसी साइट्स पर फोन मॉडल सर्च करके चिपसेट चेक किया जा सकता है।

इनसेट: MediaTek ने मार्च 2026 में सिक्योरिटी बुलेटिन जारी किया, जिसमें प्रभावित सभी चिपसेट्स की सूची दी गई है। कंपनी ने डिवाइस मैन्युफैक्चरर्स को पैच उपलब्ध कराया है, लेकिन अपडेट रोलआउट OEMs पर निर्भर करता है। यूजर्स को सेटिंग्स में सिक्योरिटी पैच लेवल चेक करना चाहिए और उपलब्ध अपडेट इंस्टॉल करना चाहिए। अगर फोन पुराना है तो अपडेट न मिलने पर अतिरिक्त सावधानियां बरतनी चाहिए, जैसे अनजान लोगों से फोन दूर रखना।

यह खामी हार्डवेयर स्तर की है, इसलिए सॉफ्टवेयर अपडेट से ही पूरी तरह ठीक हो सकती है। हमलावर को फिजिकल एक्सेस चाहिए, जो चोरी या खोए फोन के मामलों में बड़ा खतरा बन सकता है। सामान्य यूजर्स के लिए अगर फोन सुरक्षित जगह पर है तो तत्काल खतरा कम है, लेकिन अगर फोन चोरी हो जाए तो डेटा चोरी आसान हो सकती है। क्रिप्टो यूजर्स के लिए यह विशेष रूप से खतरनाक है क्योंकि वॉलेट सीड फ्रेज निकलने से फंड्स चोरी हो सकते हैं। रिसर्चर्स ने कहा है कि यह कमजोरी एंड्रॉयड इकोसिस्टम की फ्रैगमेंटेशन को दर्शाती है, जहां पैचेस पहुंचने में देरी होती है।

MediaTek चिप्स बजट फोन में ज्यादा इस्तेमाल होते हैं, जैसे कई भारतीय और एशियाई ब्रांड्स में। इससे भारत जैसे बाजारों में लाखों यूजर्स प्रभावित हो सकते हैं। अपडेट मिलने के बाद यूजर्स को तुरंत इंस्टॉल करना चाहिए। अगर अपडेट उपलब्ध नहीं है तो फोन को फैक्ट्री रीसेट या अन्य सुरक्षा उपाय अपनाने की सलाह दी जा रही है। यह घटना हार्डवेयर सिक्योरिटी की महत्वपूर्णता को दोहराती है, जहां चिप लेवल पर कमजोरी पूरी डिवाइस को प्रभावित कर सकती है।

Also Read- iQOO Z11x 5G भारत में लॉन्च, 7200mAh बैटरी के साथ मिड-रेंज में धमाल मचाने को तैयार।