Η מחקר צ'ק פוינט (CPR) מצאו נקודות תורפה במנגנון התשלום דרך הסמארטפונים של Xiaomi
Σאם זה לא יתוקן, תוקף עלול לגנוב את הסיסמאות ששימשו לחתום על ווצ'ט פיין חבילות בקרה ותשלום. במקרה הגרוע ביותר, אפליקציית אנדרואיד לא מורשית עלולה ליצור ולחתום עליה חבילת תשלום מזויפת.
- הם נמצאו פגיעויות בסביבה האמינה של שיאומי
- על מיליארד משתמשים הם יכלו להיות מושפעים
- Xiaomi זיהתה ותיקנה את חורי האבטחה
במיוחד נמצאו נקודות תורפה בסביבה המהימנה של Xiaomi, האחראית על אחסון וניהול מידע רגיש כמו סיסמאות. המכשירים שנלמדו על ידי החייאה מופעל על ידי השבב שלה מדיאטק.
שני סוגי התקפה
החייאה גילתה שתי דרכים לתקוף קוד מהימן:
1. מאפליקציית אנדרואיד לא מורשית: המשתמש מתקין אפליקציה זדונית ומפעיל אותה. האפליקציה מחלצת את המפתחות ושולחת חבילת תשלום מזויפת כדי לגנוב את הכסף
2. אם העבריין מחזיק בידיו מכשירי המטרה: התוקף משרש את המכשיר, אחר כך משפיל את סביבת האמון, ואז מבצע את הקוד כדי ליצור חבילת תשלום מזויפת ללא אפליקציה.
Η החייאה העבירה את הממצאים שלה באחריות Xiaomi. Xiaomi אישרה והוציאה תיקונים.
Ο סלבה מקבייב, חוקר אבטחה, של צק פוינט הגיב על:
הצלחנו לפרוץ אותו תשלום WeChat וליישם הדגמה מקיפה לחלוטין של ההפרה. המחקר שלנו מציין את הפעם הראשונה שהאפליקציות המהימנות של Xiaomi נבדקו לאיתור בעיות אבטחה. שיתפנו מיד את הממצאים שלנו Xiaomi, שעבד במהירות כדי להוציא תיקון.
המסר שלנו לציבור הוא לוודא תמיד שהטלפונים שלך מעודכנים לגרסה העדכנית ביותר שסופקה על ידי היצרן. אם אפילו תשלומים ניידים אינם מאובטחים, אז מה כן?
ידיעה לתקשורת
אל תשכח לעקוב אחריו Xiaomi-miui.gr ב חדשות גוגל לקבל מידע מיידי על כל המאמרים החדשים שלנו! אתה יכול גם אם אתה משתמש בקורא RSS, להוסיף את הדף שלנו לרשימה שלך פשוט על ידי לחיצה על הקישור הזה >> https://news.xiaomi-miui.gr/feed/gn