Η Check Point Research (CPR) našli zranitelnosti v platebním mechanismu prostřednictvím smartphonů Xiaomi
ΣPokud to není opraveno, útočník by mohl ukrást hesla použitá k podpisu Wechat Pay kontrolní a platební balíčky. V nejhorším případě by ji mohla vytvořit a podepsat neautorizovaná aplikace pro Android falešný platební balíček.
- Byli nalezeni zranitelnosti v důvěryhodném prostředí Xiaomi
- Přes 1 miliarda uživatelů mohli být ovlivněni
- Xiaomi identifikovalo a opravilo bezpečnostní díry
Zejména byly nalezeny zranitelnosti v důvěryhodném prostředí Xiaomi, které je zodpovědné za ukládání a správu citlivých informací, jako jsou hesla. Zařízení studovaná CPR napájen jejím čipem MediaTek.
Dva druhy útoku
CPR objevila dva způsoby útoku na důvěryhodný kód:
1. Z neautorizované aplikace pro Android: Uživatel nainstaluje škodlivou aplikaci a spustí ji. Aplikace extrahuje klíče a odešle falešný platební balíček, aby ukradl peníze
2. Pokud má pachatel v rukou cílová zařízení: Útočník rootne zařízení, poté degraduje důvěryhodné prostředí a poté spustí kód k vytvoření falešného platebního balíčku bez aplikace.
Η CPR zodpovědně sdělila své poznatky Xiaomi. Xiaomi uznalo a vydalo opravy.
Ο Sláva Makkavejev, bezpečnostní výzkumník, of Check Point komentoval:
Podařilo se nám to hacknout MyChat Pay a zavést plně komplexní demonstraci porušení. Naše studie je prvním případem, kdy byly důvěryhodné aplikace Xiaomi zkoumány z hlediska bezpečnostních problémů. O naše zjištění jsme se okamžitě podělili Xiaomi, která rychle zapracovala na opravě.
Naší zprávou pro veřejnost je vždy zajistit, aby byly vaše telefony aktualizovány na nejnovější verzi poskytovanou výrobcem. Pokud ani mobilní platby nejsou bezpečné, co potom?
tisková zpráva
Nezapomeňte se jím řídit Xiaomi-miui.gr na zprávy Google abyste byli okamžitě informováni o všech našich nových článcích! Můžete také, pokud používáte RSS čtečku, přidat naši stránku do svého seznamu jednoduše kliknutím na tento odkaz >> https://news.xiaomi-miui.gr/feed/gn