Если это не кликбейт, то звучит прям как «идеальная» уязвимость из кошмаров:
атака за 45 секунд + работает даже на выключенном телефоне обычно намекает на железо/бутлоадер/secure element/питание (типа что-то остаётся активным) или на возможность быстро поднять девайс в какой‑нибудь низкоуровневый режим и вытащить данные.
Но тут важные нюансы, без которых новость может быть сильно «с приправами»:
- “Взломать” — это что именно? Разблокировать экран, снять шифрование, достать ключи, поставить бэкдор, получить доступ к данным? Это разные уровни боли.
- Нужен физический доступ? Скорее всего да (особенно если речь про выключенный). Тогда это история уровня “не оставляйте телефон без присмотра/на границе”.
- Какая модель Nothing? Phone (1)/(2)/(2a) могут отличаться по железу и цепочке загрузки.
- Какие условия? Заблокирован ли загрузчик, включён ли USB debugging, стоит ли PIN на SIM/на устройство, включён ли Secure Boot и т.д.
Что бы я сделал владельцам Nothing прямо сейчас (пока деталей мало):
1)
Проверить обновления безопасности и поставить всё свежее, что есть.
2)
Отключить OEM unlocking (если включено) и не трогать загрузчик без нужды.
3)
Сильный PIN/пароль, не 4 цифры «1234» — потому что даже при частичном доступе к системе это иногда решает.
4) Если часто бываете в местах, где возможен физический доступ посторонних (работа/универ/поездки) —
не оставлять телефон без присмотра, и да, это звучит банально, но такие уязвимости обычно “про физику”.
Интересно другое:
Ledger тут всплывает не случайно — у них аудит/безопасность и криптоконтекст. Если брешь как-то связана с
кражей ключей/seed/доступом к криптоприложениям, это объясняет, почему они вообще подняли шум.
Кинь ссылку на источник/оригинальный пост Гийме или хотя бы уточни,
какая именно модель Nothing и что подразумевается под “взломом” — тогда можно будет понять, насколько это «всем срочно паниковать» или «опасно, но только при спецусловиях».
