Η Check Point-Forschung (HLW) Schwachstellen im Zahlungsmechanismus über Xiaomi Smartphones gefunden
ΣWenn dies nicht behoben wird, könnte ein Angreifer die Passwörter stehlen, die zum Signieren der Wechat Pay Kontroll- und Zahlungspakete. Im schlimmsten Fall könnte eine nicht autorisierte Android-App eine erstellen und signieren gefälschtes Zahlungspaket.
- Sie wurden gefunden Schwachstellen in Xiaomis vertrauenswürdiger Umgebung
- Über 1 Milliarde Nutzer sie könnten betroffen sein
- Xiaomi hat die Sicherheitslücken identifiziert und behoben
Schwachstellen wurden insbesondere in der vertrauenswürdigen Umgebung von Xiaomi gefunden, die für die Speicherung und Verwaltung sensibler Informationen wie Passwörter zuständig ist. Die untersuchten Geräte von CPR Angetrieben von ihrem Chip MediaTek.
Zwei Arten von Angriffen
CPR entdeckte zwei Möglichkeiten, vertrauenswürdigen Code anzugreifen:
1. Von einer nicht autorisierten Android-App: Der Benutzer installiert eine bösartige Anwendung und startet sie. Die App extrahiert die Schlüssel und sendet ein gefälschtes Zahlungspaket, um das Geld zu stehlen
2. Wenn der Täter die Zielgeräte in der Hand hat: Der Angreifer rootet das Gerät, verschlechtert dann die Vertrauensumgebung und führt dann den Code aus, um ein gefälschtes Zahlungspaket ohne Anwendung zu erstellen.
Η CPR teilte ihre Erkenntnisse verantwortungsvoll mit Xiaomi. Xiaomi hat Korrekturen bestätigt und herausgegeben.
Ο Slava Makkaveev, Sicherheitsforscher, of Check Point kommentiert:
Wir haben es geschafft, es zu hacken WeChat zahlen und implementieren Sie eine umfassende Demonstration des Verstoßes. Unsere Studie ist das erste Mal, dass die vertrauenswürdigen Apps von Xiaomi auf Sicherheitsprobleme untersucht wurden. Wir teilten unsere Erkenntnisse sofort mit Xiaomi, die schnell funktionierte, um einen Fix herauszugeben.
Unsere Botschaft an die Öffentlichkeit lautet, immer sicherzustellen, dass Ihre Telefone auf die neueste vom Hersteller bereitgestellte Version aktualisiert werden. Wenn selbst mobiles Bezahlen nicht sicher ist, was dann?
Pressemitteilung
Vergiss nicht, ihm zu folgen Xiaomi-miui.gr bei Google News um sofort über alle unsere neuen Artikel informiert zu werden! Wenn Sie einen RSS-Reader verwenden, können Sie unsere Seite auch zu Ihrer Liste hinzufügen, indem Sie einfach diesem Link folgen >> https://news.xiaomi-miui.gr/feed/gn