Η Check Point Research (CPR) löysi haavoittuvuuksia maksumekanismista Xiaomi-älypuhelimien kautta
ΣJos tätä ei korjata, hyökkääjä voi varastaa allekirjoittamiseen käytetyt salasanat Wechat Maksa valvonta- ja maksupaketit. Pahimmassa tapauksessa luvaton Android-sovellus voi luoda ja allekirjoittaa sellaisen väärennetty maksupaketti.
- Heidät löydettiin haavoittuvuuksia Xiaomin luotetussa ympäristössä
- Yli 1 miljardi käyttäjää heihin olisi voinut vaikuttaa
- Xiaomi on tunnistanut ja korjannut tietoturva-aukot
Haavoittuvuuksia löydettiin erityisesti Xiaomin luotetusta ympäristöstä, joka vastaa arkaluonteisten tietojen, kuten salasanojen, tallentamisesta ja hallinnasta. Laitteet, joita on tutkinut CPR virtansa hänen sirullaan MediaTek.
Kahden tyyppinen hyökkäys
CPR löysi kaksi tapaa hyökätä luotettavaan koodiin:
1. Luvattomasta Android-sovelluksesta: Käyttäjä asentaa haitallisen sovelluksen ja käynnistää sen. Sovellus poimii avaimet ja lähettää väärennetyn maksupaketin rahan varastamiseksi
2. Jos tekijällä on kohdelaitteet käsissään: Hyökkääjä juurruttaa laitteen, heikentää sitten luottamusympäristöä ja suorittaa sitten koodin luodakseen väärennetyn maksupaketin ilman sovellusta.
Η CPR ilmoitti havainnoistaan vastuullisesti Xiaomi. Xiaomi on tunnustanut ja julkaissut korjauksia.
Ο Slava Makkaveev, turvallisuustutkija, of Check Point kommentoi:
Onnistuimme hakkeroimaan sen WeChat Pay ja toteuttaa täysin kattava esittely rikkomuksesta. Tutkimuksemme on ensimmäinen kerta, kun Xiaomin luotettujen sovellusten tietoturvaongelmat on tutkittu. Kerroimme havainnoistamme välittömästi Xiaomi, joka korjasi nopeasti.
Viestimme yleisölle on varmistaa, että puhelimesi on aina päivitetty valmistajan tarjoamaan uusimpaan versioon. Jos edes mobiilimaksut eivät ole turvallisia, niin mikä sitten on?
Lehdistötiedote
Älä unohda seurata sitä Xiaomi-miui.gr at Google Uutiset saada heti tiedon kaikista uusista artikkeleistamme! Jos käytät RSS-lukijaa, voit myös lisätä sivumme listallesi seuraamalla tätä linkkiä >> https://news.xiaomi-miui.gr/feed/gn