Η Badania punktów kontrolnych (CPR) znalazł luki w mechanizmie płatności za pośrednictwem smartfonów Xiaomi
ΣJeśli to nie zostanie naprawione, osoba atakująca może ukraść hasła używane do podpisywania Wechat Pay pakiety kontrolne i płatnicze. W najgorszym przypadku nieautoryzowana aplikacja na Androida może ją utworzyć i podpisać fałszywy pakiet płatności.
- Zostały znalezione luki w zaufanym środowisku Xiaomi
- Nad 1 miliard użytkowników mogły zostać naruszone
- Xiaomi zidentyfikowało i naprawiło luki w zabezpieczeniach
W szczególności wykryto luki w zaufanym środowisku Xiaomi, które odpowiada za przechowywanie i zarządzanie poufnymi informacjami, takimi jak hasła. Urządzenia badane przez CPR zasilany jej chipem MediaTek.
Dwa rodzaje ataku
CPR odkryło dwa sposoby atakowania zaufanego kodu:
1. Z nieautoryzowanej aplikacji na Androida: Użytkownik instaluje złośliwą aplikację i uruchamia ją. Aplikacja wyodrębnia klucze i wysyła fałszywy pakiet płatności, aby ukraść pieniądze
2. Jeśli sprawca ma w rękach urządzenia docelowe: Atakujący rootuje urządzenie, następnie degraduje środowisko zaufania, a następnie wykonuje kod, aby utworzyć fałszywą paczkę płatności bez aplikacji.
Η CPR odpowiedzialnie przekazała swoje odkrycia do Xiaomi. Xiaomi potwierdziło i wydało poprawki.
Ο Sława Makkaveev, badacz ds. bezpieczeństwa, z Check Point skomentował:
Udało nam się to zhakować WeChat Pay i wdrożyć w pełni kompleksową demonstrację naruszenia. Nasze badanie po raz pierwszy sprawdza zaufane aplikacje Xiaomi pod kątem problemów z bezpieczeństwem. Natychmiast podzieliliśmy się naszymi odkryciami z Xiaomi, który szybko zadziałał, aby wydać poprawkę.
Naszym przesłaniem dla opinii publicznej jest zawsze upewnianie się, że Twoje telefony są aktualizowane do najnowszej wersji dostarczonej przez producenta. Jeśli nawet płatności mobilne nie są bezpieczne, to co jest?
Komunikat prasowy
Nie zapomnij tego przestrzegać Xiaomi-miui.gr w wiadomości Google być natychmiast informowanym o wszystkich naszych nowych artykułach! Jeśli korzystasz z czytnika RSS, możesz również dodać naszą stronę do swojej listy, klikając ten link >> https://news.xiaomi-miui.gr/feed/gn