Η Recerca de punts de control (CPR) van trobar vulnerabilitats en el mecanisme de pagament a través dels telèfons intel·ligents Xiaomi
ΣSi això no es soluciona, un atacant podria robar les contrasenyes utilitzades per signar WeChat Pay paquets de control i pagament. En el pitjor dels casos, una aplicació d'Android no autoritzada podria crear-ne i signar-ne una paquet de pagament fals.
- Van ser trobats vulnerabilitats a l'entorn de confiança de Xiaomi
- Acabat 1 milions d'usuaris podrien haver estat afectats
- Xiaomi ha identificat i arreglat els forats de seguretat
En particular, es van trobar vulnerabilitats a l'entorn de confiança de Xiaomi, responsable d'emmagatzemar i gestionar informació sensible com ara contrasenyes. Els aparells estudiats per RCP alimentat pel seu xip MediaTek.
Dos tipus d'atac
CPR va descobrir dues maneres d'atacar codi de confiança:
1. Des d'una aplicació d'Android no autoritzada: L'usuari instal·la una aplicació maliciosa i la llança. L'aplicació extreu les claus i envia un paquet de pagament fals per robar els diners
2. Si l'autor té els dispositius objectiu a les seves mans: L'atacant arrela el dispositiu, després degrada l'entorn de confiança i després executa el codi per crear un paquet de pagament fals sense una aplicació.
Η RCP va comunicar de manera responsable les seves troballes a Xiaomi. Xiaomi ha reconegut i emès solucions.
Ο Slava Makkaveev, Investigador de Seguretat, de Check Point va comentar:
Hem aconseguit piratejar-lo WeChatPay i implementar una demostració totalment completa de l'incompliment. El nostre estudi és la primera vegada que les aplicacions de confiança de Xiaomi s'examinen per problemes de seguretat. Immediatament vam compartir les nostres troballes amb Xiaomi, que va funcionar ràpidament per emetre una solució.
El nostre missatge al públic és assegurar-nos sempre que els vostres telèfons estiguin actualitzats a la darrera versió proporcionada pel fabricant. Si fins i tot els pagaments mòbils no són segurs, què ho és?
Nota de premsa
No us oblideu de seguir-lo Xiaomi-miui.gr en Google News per estar informat immediatament de tots els nostres nous articles! També podeu, si feu servir el lector RSS, afegir la nostra pàgina a la vostra llista, simplement seguint aquest enllaç >> https://news.xiaomi-miui.gr/feed/gn