Η Investigación de Check Point (CPR) encontraron vulnerabilidades en el mecanismo de pago a través de Smartphones Xiaomi
ΣSi esto no se soluciona, un atacante podría robar las contraseñas utilizadas para firmar el Wechat Pay paquetes de control y pago. En el peor de los casos, una aplicación de Android no autorizada podría crear y firmar uno paquete de pago falso.
- Fueron encontrados vulnerabilidades en el entorno de confianza de Xiaomi
- Encima mil millones de usuarios podrían haber sido afectados
- Xiaomi ha identificado y solucionado los agujeros de seguridad.
En particular, se encontraron vulnerabilidades en el entorno de confianza de Xiaomi, que se encarga de almacenar y administrar información confidencial, como contraseñas. Los dispositivos estudiados por RCP alimentado por su chip MediaTek.
Dos tipos de ataque
CPR descubrió dos formas de atacar el código confiable:
1. Desde una aplicación de Android no autorizada: El usuario instala una aplicación maliciosa y la inicia. La aplicación extrae las claves y envía un paquete de pago falso para robar el dinero
2. Si el perpetrador tiene los dispositivos de destino en sus manos: El atacante rootea el dispositivo, luego degrada el entorno de confianza y luego ejecuta el código para crear un paquete de pago falso sin una aplicación.
Η RCP comunicó responsablemente sus hallazgos a Xiaomi. Xiaomi ha reconocido y emitido correcciones.
Ο Slava Makkavéev, Investigador de Seguridad, de Check Point comentado:
Logramos hackearlo WeChat Pay e implementar una demostración completa de la infracción. Nuestro estudio marca la primera vez que se examinan las aplicaciones confiables de Xiaomi por problemas de seguridad. Inmediatamente compartimos nuestros hallazgos con Xiaomi, que funcionó rápidamente para emitir una solución.
Nuestro mensaje al público es asegurarse siempre de que sus teléfonos estén actualizados a la última versión proporcionada por el fabricante. Si incluso los pagos móviles no son seguros, ¿entonces qué lo es?
presione soltar
No te olvides de seguirlo xiaomi-miui.gr en noticias de Google para estar informado inmediatamente sobre todos nuestros nuevos artículos! También puede, si usa un lector de RSS, agregar nuestra página a su lista simplemente siguiendo este enlace >> https://news.xiaomi-miui.gr/feed/gn