Ευπάθειες στα τηλέφωνα Xiaomi θα μπορούσαν να οδηγήσουν χάκερς να πλαστογραφήσουν πληρωμές
Η Check Point Research (CPR) εντόπισε ευπάθειες στον μηχανισμό πληρωμών μέσω κινητού Xiaomi. Σε περίπτωση που αυτή δεν επιδιορθωθεί, ένας εισβολέας θα μπορούσε να κλέψει τους κδικούς που χρησιμοποιούνται για την υπογραφή των Wechat Pay πακέτων ελέγχου και πληρωμών.
Στη χειρότερη περίπτωση, μια μη εξουσιοδοτημένη εφαρμογή Android θα μπορούσε να δημιουργήσει και να υπογράψει ένα ψεύτικο πακέτο πληρωμής.
– Βρέθηκαν τρωτά σημεία στο αξιόπιστο περιβάλλον της Xiaomi
– Πάνω από 1 δισεκατομμύριο χρήστες θα μπορούσαν να έχουν επηρεαστεί
– Η Xiaomi αναγνώρισε και
Η Check Point Research (CPR) εντόπισε ευπάθειες στον μηχανισμό πληρωμών μέσω κινητού Xiaomi. Αν δεν επιδιορθωθεί, ένας εισβολέας θα μπορούσε να κλέψει τα ιδιωτικά κλειδιά που χρησιμοποιούνται για την υπογραφή των πακέτων ελέγχου και πληρωμής του Wechat Pay. Στη χειρότερη περίπτωση, μια μη εξουσιοδοτημένη εφαρμογή Androidθα μπορούσε να δημιουργήσει και να υπογράψει ένα ψεύτικο πακέτο πληρωμής.
Συγκεκριμένα, οι ευπάθειες εντοπίστηκαν στο αξιόπιστο περιβάλλον της Xiaomi, το οποίο είναι υπεύθυνο για την αποθήκευση και τη διαχείριση ευαίσθητων πληροφοριών, όπως κωδικούς πρόσβασης. Οι συσκευές που μελετήθηκαν από τη CPR τροφοδοτούνταν από τσιπ της MediaTek.
Δύο είδη επίθεσης
Η CPR ανακάλυψε δύο τρόπους επίθεσης στον αξιόπιστο κώδικα:
Από μια μη εξουσιοδοτημένη εφαρμογή Android: Ο χρήστης εγκαθιστά μια κακόβουλη εφαρμογή και την εκκινεί. Η εφαρμογή εξάγει τα κλειδιά και στέλνει ένα ψεύτικο πακέτο πληρωμής για να κλέψει τα χρήματαΕάν ο δράστης έχει τις συσκευές-στόχους στα χέρια του: Ο επιτιθέμενος κάνει rootτη συσκευή, στη συνέχεια υποβαθμίζει το περιβάλλον εμπιστοσύνης και στη συνέχεια εκτελεί τον κώδικα για να δημιουργήσει ένα ψεύτικο πακέτο πληρωμών χωρίς εφαρμογή.Η CPR γνωστοποίησε υπεύθυνα τα ευρήματά της στη Xiaomi. Η Xiaomi αναγνώρισε και εξέδωσε διορθώσεις.
Ο Slava Makkaveev, Security Researcher, Check Point σχολίασε σχετικά:
“Ανακαλύψαμε ένα σύνολο ευπαθειών που θα μπορούσαν να επιτρέψουν την παραποίηση πακέτων πληρωμών ή την απενεργοποίηση του συστήματος πληρωμών απευθείας, από μια εφαρμογή Android. Καταφέραμε να παραβιάσουμε το WeChat Pay και να υλοποιήσουμε μια πλήρως ολοκληρωμένη επίδειξη της παραβίασης. Η μελέτη μας σηματοδοτεί την πρώτη φορά που οι αξιόπιστες εφαρμογές της Xiaomi εξετάζονται για θέματα ασφαλείας. Κοινοποιήσαμε αμέσως τα ευρήματά μας στην Xiaomi, η οποία εργάστηκε γρήγορα για να εκδώσει μια διόρθωση. Το μήνυμά μας προς το κοινό είναι να βεβαιώνεστε συνεχώς ότι τα τηλέφωνά σας είναι ενημερωμένα στην τελευταία έκδοση που παρέχεται από τον κατασκευαστή. Αν ακόμη και οι πληρωμές μέσω κινητού δεν είναι ασφαλείς, τότε τι είναι;”
The post Ευπάθειες στα τηλέφωνα Xiaomi θα μπορούσαν να οδηγήσουν χάκερς να πλαστογραφήσουν πληρωμές appeared first on allaboutandroid.gr.
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Τεχνολογία
- Διαθέσιμο το demo του fan made Wing Commander IV: The Price of Freedom Remastered (trailer)
- World Rally Championship - Θυμήσου την Arcade παιχνιδάρα της δεκαετίας του 90'
- Καθυστέρηση κυκλοφορίας για τα Metal Slug Tactics και Deliver Us Mars
- Ευπάθειες στα τηλέφωνα Xiaomi θα μπορούσαν να οδηγήσουν χάκερς να πλαστογραφήσουν πληρωμές
- Δημοφιλέστερες Ειδήσεις AllAboutAndroid
- Τελευταία Νέα AllAboutAndroid
- Ευπάθειες στα τηλέφωνα Xiaomi θα μπορούσαν να οδηγήσουν χάκερς να πλαστογραφήσουν πληρωμές
- Τα νέα αναδιπλούμενα Samsung Galaxy smartphones ανοίγουν το δρόμο για ένα πιο βιώσιμο μέλλον, παρέχοντας την πιο ευέλικτη εμπειρία κινητής
- SAMSUNG Galaxy Z Flip4 5G και Ζ Fold4 5G: Ξεκίνησαν οι προ-παραγγελίες σε COSMOTE και ΓΕΡΜΑΝΟ
- Η Samsung παρουσιάζει τα Samsung Galaxy Z Flip4 και Z Fold4: Οι πιο ευέλικτες συσκευές έρχονται να αλλάξουν τον τρόπο αλληλεπίδρασης με τα smartphones
- ZEPETO: 3D avatar, chat & meet
- Peppa Pig: Polly Parrot
- Yoga | Down Dog
- Braindom 2: «Μάντεψε Ποιος»
- Sudoku – Παζλ Classic Sudoku
- HUAWEI WATCH GT 3 Pro: Αποκτήστε το πιο κομψό και καινοτόμο smartwatch με δώρο το πανάλαφρο φορητό ηχείο HUAWEI Sound Joy
- Τελευταία Νέα Κατηγορίας Τεχνολογία
- Καθυστέρηση κυκλοφορίας για τα Metal Slug Tactics και Deliver Us Mars
- World Rally Championship - Θυμήσου την Arcade παιχνιδάρα της δεκαετίας του 90'
- Διαθέσιμο το demo του fan made Wing Commander IV: The Price of Freedom Remastered (trailer)
- Νέο trailer επικεντρώνεται στο gameplay του JoJo’s Bizarre Adventure: All Star Battle R
- Αναφορά: Apple Event στις 7 Σεπτεμβρίου, iPhone 14 στην αγορά στις 16 Σεπτεμβρίου
- 6 τηλεοράσεις 75 ιντσών που μετατρέπουν το σαλόνι σε cinema, γήπεδο ή gaming arena!
- Android εφαρμογές για επεξεργασία φωτογραφιών
- Η Samsung Electronics ανεβάζει την εμπειρία gaming στο επόμενο επίπεδο με την παγκόσμια κυκλοφορία του Odyssey Ark
- Wednesday: Νέο trailer για τη νέα σειρά του Tim Burton
- Ημερομηνία κυκλοφορίας για το Life is Strange: Arcadia Bay Collection στο Nintendo Switch (trailer)