Η Check Point Research (HLR) hittade sårbarheter i betalningsmekanismen genom Xiaomi Smartphones
ΣOm detta inte åtgärdas kan en angripare stjäla lösenorden som användes för att signera Wechat Pay kontroll- och betalningspaket. I värsta fall kan en obehörig Android-app skapa och signera en falskt betalningspaket.
- De hittades sårbarheter i Xiaomis pålitliga miljö
- Över 1 miljard användare de kunde ha drabbats
- Xiaomi har identifierat och åtgärdat säkerhetshålen
I synnerhet upptäcktes sårbarheter i Xiaomis betrodda miljö, som ansvarar för att lagra och hantera känslig information som lösenord. De enheter som studerats av HLR drivs av hennes chip MediaTek.
Två typer av attacker
HLR upptäckte två sätt att attackera betrodd kod:
1. Från en obehörig Android-app: Användaren installerar en skadlig applikation och startar den. Appen extraherar nycklarna och skickar ett falskt betalningspaket för att stjäla pengarna
2. Om förövaren har målenheterna i sina händer: Angriparen rotar enheten, försämrar sedan förtroendemiljön och kör sedan koden för att skapa ett falskt betalningspaket utan en applikation.
Η HLR ansvarsfullt kommunicerat sina resultat till Xiaomi. Xiaomi har erkänt och utfärdat korrigeringar.
Ο Slava Makkaveev, Säkerhetsforskare, av Check Point kommenterade:
Vi lyckades hacka den WeChat Pay och implementera en heltäckande demonstration av överträdelsen. Vår studie markerar första gången Xiaomis betrodda appar har undersökts för säkerhetsproblem. Vi delade omedelbart våra fynd med Xiaomi, som fungerade snabbt för att fixa.
Vårt budskap till allmänheten är att alltid se till att dina telefoner är uppdaterade till den senaste versionen från tillverkaren. Om ens mobilbetalningar inte är säkra, vad är det då?
pressmeddelande
Glöm inte att följa den Xiaomi-miui.gr vid Google Nyheter för att omedelbart bli informerad om alla våra nya artiklar! Du kan också, om du använder RSS-läsare, lägga till vår sida i din lista, helt enkelt genom att följa denna länk >> https://news.xiaomi-miui.gr/feed/gn