MediaTek-lek zet vraagtekens bij veiligheid van Android voor crypto-opslag

Een kwetsbaarheid in een veelgebruikte MediaTek-chip roept nieuwe vragen op over de veiligheid van Android-smartphones voor het bewaren van walletdata, herstelcodes en andere gevoelige cryptogegevens. Beveiligingsonderzoekers van Ledger Donjon melden dat zij bij analyse van een recente MediaTek-chip vergaande hardwaretoegang kregen. MediaTek heeft de kwestie inmiddels zelf opgenomen in zijn security bulletin van maart 2026.

Voor crypto-gebruikers in Nederland en België is de belangrijkste boodschap voorlopig vrij praktisch: wie wallets, 2FA-codes of herstelinformatie op een smartphone bewaart, doet er verstandig aan updates niet uit te stellen en opnieuw te bekijken welke gevoelige data nog op dat toestel staat.

De huidige aandacht draait vooral om onderzoek van Ledger Donjon naar de MediaTek Dimensity 7300, ook bekend als de MT6878. Volgens Ledger wist het team via hardware-aanvallen een “complete security compromise” te bereiken, inclusief code-uitvoering op het hoogste privilegeniveau. Dat is opvallend, omdat het gaat om een zeer vroege fase van het opstartproces, nog voordat Android volledig actief is.

Toch is enige terughoudendheid op zijn plaats. De stevigste beweringen die nu circuleren — bijvoorbeeld dat een aanvaller met korte fysieke toegang een toestel vrijwel volledig zou kunnen uitlezen — zijn vooral afkomstig uit secundaire berichtgeving.

In de primaire documentatie van MediaTek zelf wordt dat niet op die manier uitgewerkt. De kern van het probleem is dus voldoende serieus, maar dat is iets anders dan stellen dat het volledige rampscenario al breed is bevestigd.

In het security bulletin van maart 2026 noemt MediaTek de kwetsbaarheid CVE-2026-20435. Volgens de beschrijving zit het probleem in de preloader en kan het, door een logische fout, leiden tot het uitlezen van apparaat-specifieke identifiers.

Ook in de NVD-vermelding wordt gesproken over lokale informatielekken wanneer een aanvaller fysieke toegang tot het toestel heeft, zonder extra privileges en zonder gebruikersinteractie. De MT6878 staat daarbij expliciet in de lijst met getroffen chipsets.

Juist die combinatie maakt het nieuws relevant: een officiële CVE, opname in het bulletin van de chipmaker en technisch onderzoek van Ledger. Dat is voldoende basis voor een feitelijk artikel, ook als nog niet elke verstrekkende claim even hard is onderbouwd.

Voor de gemiddelde Android-gebruiker is dit in de eerste plaats een updateverhaal. Voor crypto-gebruikers ligt dat gevoeliger. Ledger plaatst het onderzoek nadrukkelijk in de bredere context van self-custody en de beperkingen van smartphones als veilige omgeving voor private keys en andere gevoelige informatie.

Dat raakt direct aan de praktijk. Veel particuliere beleggers gebruiken hun telefoon niet alleen voor een wallet-app, maar ook voor authenticatie, cloudback-ups, notities of in het slechtste geval zelfs foto’s van herstelzinnen. Daarmee wordt een hardwareprobleem al snel meer dan een technisch detail. Het raakt de manier waarop digitale toegang in de praktijk wordt bewaard en beschermd.

Voor lezers in Nederland en België is dat een herkenbare invalshoek. Android-toestellen worden op grote schaal gebruikt voor bankieren, crypto-apps en verificatiecodes.

Een kwetsbaarheid op chipniveau is dan niet alleen relevant voor securityonderzoekers, maar ook voor gebruikers die hun smartphone in feite als centrale toegangspoort tot hun financiële leven gebruiken.

Dat er een patch bestaat, betekent niet automatisch dat iedere gebruiker al beschermd is. MediaTek noemt in de CVE-informatie een patch-ID, maar de daadwerkelijke uitrol loopt daarna via smartphonefabrikanten en soms ook via telecomproviders. Juist daar ontstaan in de praktijk vaak vertragingen.

Vooral bij goedkopere of oudere toestellen is dat een bekend probleem. De patch is er dan op papier wel, maar bereikt niet ieder model op hetzelfde moment — of soms helemaal niet meer.

Voor crypto-gebruikers is het daarom niet genoeg om te weten dát er een fix bestaat. De relevante vraag is of hun eigen toestel die update inmiddels ook heeft ontvangen, en hoe lang dat toestel überhaupt nog beveiligingsupdates krijgt.

Wie een Android-telefoon gebruikt voor crypto hoeft niet direct in paniek te raken, maar afwachten is evenmin verstandig. Controleer eerst of de nieuwste beveiligingsupdate beschikbaar is en installeer die direct.

Kijk daarnaast kritisch naar wat er nog op de telefoon staat: herstelzinnen, wallet-back-ups en andere gevoelige gegevens horen daar idealiter niet permanent op thuis.

Wie serieuzer met self-custody bezig is, doet er verstandig aan private keys en herstelinformatie los van de smartphone te bewaren, bijvoorbeeld via een hardware wallet of een andere gescheiden vorm van opslag. Dat sluit ook aan bij de bredere veiligheidslijn die Ledger zelf in het onderzoek benadrukt.

Gebruik jij je smartphone nog als centrale plek voor je wallettoegang, of heb je gevoelige cryptodata daar inmiddels vanaf gehaald? Laat het ons weten op onze socials!