Η Pesquisa de ponto de verificação (RCP) encontrou vulnerabilidades no mecanismo de pagamento através de smartphones Xiaomi
ΣSe isso não for corrigido, um invasor poderá roubar as senhas usadas para assinar o Wechat Pay pacotes de controle e pagamento. Na pior das hipóteses, um aplicativo Android não autorizado pode criar e assinar um pacote de pagamento falso.
- Eles foram encontrados vulnerabilidades no ambiente confiável da Xiaomi
- Acima 1 bilhão de usuários eles poderiam ter sido afetados
- A Xiaomi identificou e corrigiu as falhas de segurança
Em particular, foram encontradas vulnerabilidades no ambiente confiável da Xiaomi, que é responsável por armazenar e gerenciar informações confidenciais, como senhas. Os dispositivos estudados por CPR alimentado por seu chip MediaTek.
Dois tipos de ataque
O CPR descobriu duas maneiras de atacar o código confiável:
1. De um aplicativo Android não autorizado: O usuário instala um aplicativo malicioso e o inicia. O aplicativo extrai as chaves e envia um pacote de pagamento falso para roubar o dinheiro
2. Se o perpetrador tiver os dispositivos alvo nas mãos: O invasor enraíza o dispositivo, degrada o ambiente de confiança e executa o código para criar um pacote de pagamento falso sem um aplicativo.
Η CPR com responsabilidade comunicou suas descobertas para Xiaomi. A Xiaomi reconheceu e emitiu correções.
Ο Slava Makkaveev, Pesquisador de Segurança, de Check Point comentou em:
Conseguimos hackear WeCh Pay e implementar uma demonstração totalmente abrangente da violação. Nosso estudo marca a primeira vez que os aplicativos confiáveis da Xiaomi foram examinados quanto a problemas de segurança. Imediatamente compartilhamos nossas descobertas com Xiaomi, que funcionou rapidamente para emitir uma correção.
Nossa mensagem ao público é sempre garantir que seus telefones estejam atualizados para a versão mais recente fornecida pelo fabricante. Se até mesmo os pagamentos móveis não são seguros, então o que é?
Comunicado de Imprensa
Não se esqueça de seguir Xiaomi-miui.gr em Google News para ser informado imediatamente sobre todos os nossos novos artigos! Você também pode, se usar um leitor RSS, adicionar nossa página à sua lista simplesmente seguindo este link >> https://news.xiaomi-miui.gr/feed/gn