Η การวิจัยจุดตรวจ (CPR) พบช่องโหว่ในกลไกการชำระเงินผ่านสมาร์ทโฟน Xiaomi
Σหากไม่ได้รับการแก้ไข ผู้โจมตีอาจขโมยรหัสผ่านที่ใช้ในการลงนาม Wechat จ่าย แพ็คเกจควบคุมและชำระเงิน ในกรณีที่เลวร้ายที่สุด แอพ Android ที่ไม่ได้รับอนุญาตสามารถสร้างและลงนามได้ แพ็คเกจชำระเงินปลอม.
- พบแล้ว ช่องโหว่ ในสภาพแวดล้อมที่เชื่อถือได้ของ Xiaomi
- เกิน ผู้ใช้ 1 พันล้านคน พวกเขาอาจได้รับผลกระทบ
- Xiaomi ได้ระบุและแก้ไขช่องโหว่ด้านความปลอดภัยแล้ว
โดยเฉพาะอย่างยิ่ง พบช่องโหว่ในสภาพแวดล้อมที่เชื่อถือได้ของ Xiaomi ซึ่งมีหน้าที่ในการจัดเก็บและจัดการข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน อุปกรณ์ที่ศึกษาโดย การทำ CPR ขับเคลื่อนโดยชิปของเธอ MediaTek.
การโจมตีสองประเภท
CPR ค้นพบสองวิธีในการโจมตีรหัสที่เชื่อถือได้:
1. จากแอป Android ที่ไม่ได้รับอนุญาต: ผู้ใช้ติดตั้งแอปพลิเคชันที่เป็นอันตรายและเปิดใช้งาน แอพดึงกุญแจและส่งแพ็กเก็ตการชำระเงินปลอมเพื่อขโมยเงิน
2. หากผู้กระทำผิดมีอุปกรณ์เป้าหมายอยู่ในมือ: ผู้โจมตีจะทำการรูทอุปกรณ์ จากนั้นจึงลดระดับสภาพแวดล้อมที่เชื่อถือ จากนั้นจึงรันโค้ดเพื่อสร้างแพ็คเกจการชำระเงินปลอมโดยไม่ต้องใช้แอปพลิเคชัน
Η การทำ CPR สื่อสารสิ่งที่ค้นพบของเธอกับ .อย่างมีความรับผิดชอบ Xiaomi. Xiaomi ได้รับทราบและออกการแก้ไขแล้ว
Ο สลาวา มักคาวีฟ, นักวิจัยด้านความปลอดภัย, ของ Check Point แสดงความคิดเห็นใน:
เราจัดการเพื่อแฮ็คมันได้ WeChat Pay และดำเนินการสาธิตการละเมิดอย่างครอบคลุม การศึกษาของเรานับเป็นครั้งแรกที่แอปที่เชื่อถือได้ของ Xiaomi ได้รับการตรวจสอบปัญหาด้านความปลอดภัย เราแบ่งปันการค้นพบของเรากับ .ทันที Xiaomiซึ่งทำงานได้อย่างรวดเร็วเพื่อแก้ไขปัญหา
ข้อความของเราถึงสาธารณะคือต้องตรวจสอบให้แน่ใจเสมอว่าโทรศัพท์ของคุณได้รับการอัปเดตเป็นเวอร์ชันล่าสุดจากผู้ผลิต ถ้าแม้แต่การชำระเงินผ่านมือถือไม่ปลอดภัย แล้วอะไรล่ะ
ข่าวประชาสัมพันธ์
อย่าลืมกดติดตามนะครับ Xiaomi-miui.gr ที่ Google News เพื่อแจ้งให้ทราบทันทีเกี่ยวกับบทความใหม่ทั้งหมดของเรา! คุณยังสามารถถ้าคุณใช้โปรแกรมอ่าน RSS ให้เพิ่มหน้าของเราในรายการของคุณโดยทำตามลิงค์นี้ >> https://news.xiaomi-miui.gr/feed/gn