Check Point Research (CPR): vulnerabilitats greus trobades als telèfons intel·ligents Xiaomi

Η Recerca de punts de control (CPR) van trobar vulnerabilitats en el mecanisme de pagament a través dels telèfons intel·ligents Xiaomi

ΣSi això no es soluciona, un atacant podria robar les contrasenyes utilitzades per signar WeChat Pay paquets de control i pagament. En el pitjor dels casos, una aplicació d'Android no autoritzada podria crear-ne i signar-ne una paquet de pagament fals.

• Van ser trobats vulnerabilitats a l'entorn de confiança de Xiaomi
• Acabat 1 milions d'usuaris podrien haver estat afectats
• Xiaomi ha identificat i arreglat els forats de seguretat

En particular, es van trobar vulnerabilitats a l'entorn de confiança de Xiaomi, responsable d'emmagatzemar i gestionar informació sensible com ara contrasenyes. Els aparells estudiats per RCP alimentat pel seu xip MediaTek.

Dos tipus d'atac

CPR va descobrir dues maneres d'atacar codi de confiança:

1. Des d'una aplicació d'Android no autoritzada: L'usuari instal·la una aplicació maliciosa i la llança. L'aplicació extreu les claus i envia un paquet de pagament fals per robar els diners

2. Si l'autor té els dispositius objectiu a les seves mans: L'atacant arrela el dispositiu, després degrada l'entorn de confiança i després executa el codi per crear un paquet de pagament fals sense una aplicació.

Η RCP va comunicar de manera responsable les seves troballes a Xiaomi. Xiaomi ha reconegut i emès solucions.

Ο Slava Makkaveev, Investigador de Seguretat, de Check Point va comentar:

Nota de premsa

No us oblideu de seguir-lo Xiaomi-miui.gr en Google News per estar informat immediatament de tots els nostres nous articles! També podeu, si feu servir el lector RSS, afegir la nostra pàgina a la vostra llista, simplement seguint aquest enllaç >> https://news.xiaomi-miui.gr/feed/gn

Segueix-nos a telegram perquè siguis el primer a conèixer totes les nostres notícies!