Η Check Point Research (CPR) nakakita ng mga kahinaan sa mekanismo ng pagbabayad sa pamamagitan ng Xiaomi Smartphones
ΣKung hindi ito maaayos, maaaring nakawin ng isang umaatake ang mga password na ginamit para lagdaan ang Bayad sa Wechat mga pakete ng kontrol at pagbabayad. Sa pinakamasamang sitwasyon, maaaring gumawa at pumirma ng isa ang hindi awtorisadong Android app pekeng pakete ng pagbabayad.
- Natagpuan sila mga kahinaan sa pinagkakatiwalaang kapaligiran ng Xiaomi
- Tapos na 1 bilyong gumagamit maaari silang maapektuhan
- Natukoy at inayos ng Xiaomi ang mga butas sa seguridad
Sa partikular, ang mga kahinaan ay natagpuan sa pinagkakatiwalaang kapaligiran ng Xiaomi, na responsable para sa pag-iimbak at pamamahala ng sensitibong impormasyon tulad ng mga password. Ang mga kagamitang pinag-aralan ni CPR pinapagana ng kanyang chip MediaTek.
Dalawang uri ng pag-atake
Natuklasan ng CPR ang dalawang paraan ng pag-atake sa pinagkakatiwalaang code:
1. Mula sa isang hindi awtorisadong Android app: Nag-i-install ang user ng malisyosong application at inilulunsad ito. Kinukuha ng app ang mga susi at nagpapadala ng pekeng packet ng pagbabayad upang nakawin ang pera
2. Kung ang may kasalanan ay may mga target na device sa kanilang mga kamay: I-root ng attacker ang device, pagkatapos ay i-degrade ang trust environment, at pagkatapos ay i-execute ang code para gumawa ng pekeng package ng pagbabayad nang walang application.
Η CPR responsableng ipinaalam ang kanyang mga natuklasan sa Xiaomi. Kinilala at nagbigay ng mga pag-aayos ang Xiaomi.
Ο Slava Makkaveev, Security Researcher, ng Suriin ang Point nagkomento sa:
Nagawa naming i-hack ito WeChat Pay at magpatupad ng ganap na komprehensibong pagpapakita ng paglabag. Ang aming pag-aaral ay nagmamarka sa unang pagkakataon na ang mga pinagkakatiwalaang app ng Xiaomi ay napagmasdan para sa mga isyu sa seguridad. Agad naming ibinahagi ang aming mga natuklasan Xiaomi, na mabilis na gumana upang mag-isyu ng pag-aayos.
Ang aming mensahe sa publiko ay palaging tiyaking na-update ang iyong mga telepono sa pinakabagong bersyon na ibinigay ng tagagawa. Kung kahit na ang mga pagbabayad sa mobile ay hindi secure, ano ito?
Press release
Huwag kalimutang sundan ito Xiaomi-miui.gr sa Google News upang maipaalam kaagad tungkol sa lahat ng aming mga bagong artikulo! Maaari mo ring kung gumagamit ka ng RSS reader, idagdag ang aming pahina sa iyong listahan sa pamamagitan lamang ng pagsunod sa link na ito >> https://news.xiaomi-miui.gr/feed/gn