Η بررسی نقطه چک (CPR) آسیب پذیری هایی را در مکانیزم پرداخت از طریق گوشی های هوشمند شیائومی پیدا کرد
Σاگر این مشکل برطرف نشود، مهاجم میتواند گذرواژههای مورد استفاده برای امضای آن را بدزدد Wechat پرداخت بسته های کنترل و پرداخت در بدترین حالت، یک برنامه اندرویدی غیرمجاز میتواند ایجاد کند و آن را امضا کند بسته پرداخت جعلی.
- پیدا شدند آسیب پذیری ها در محیط مورد اعتماد شیائومی
- بر فراز 1 میلیارد کاربر آنها می توانستند تحت تأثیر قرار گیرند
- شیائومی حفره های امنیتی را شناسایی و رفع کرده است
به ویژه، آسیبپذیریهایی در محیط مورد اعتماد شیائومی یافت شد که وظیفه ذخیره و مدیریت اطلاعات حساس مانند رمزهای عبور را بر عهده دارد. دستگاه های مورد مطالعه توسط CPR توسط تراشه او تغذیه می شود مدیاتک.
دو نوع حمله
CPR دو راه برای حمله به کد قابل اعتماد کشف کرد:
1. از یک برنامه اندروید غیرمجاز: کاربر یک برنامه مخرب را نصب کرده و آن را راه اندازی می کند. این برنامه کلیدها را استخراج می کند و یک بسته پرداخت جعلی برای سرقت پول ارسال می کند
2. اگر مرتکب وسایل مورد نظر را در دست داشته باشد: مهاجم دستگاه را روت می کند، سپس محیط اعتماد را تخریب می کند، و سپس کد را برای ایجاد یک بسته پرداخت جعلی بدون برنامه اجرا می کند.
Η CPR به طور مسئولانه یافته های خود را به اطلاع او رساند Xiaomi. شیائومی تصدیق کرده و اصلاحاتی را صادر کرده است.
Ο اسلاوا مککاویف، محقق امنیت، از Check Point است. اظهار نظر کرد:
ما موفق شدیم آن را هک کنیم پرداخت ما و یک نمایش کاملاً جامع از نقض را اجرا کنید. مطالعه ما اولین باری است که برنامه های مورد اعتماد شیائومی از نظر مسائل امنیتی مورد بررسی قرار می گیرند. ما بلافاصله یافته های خود را با آنها در میان گذاشتیم Xiaomi، که به سرعت برای رفع مشکل کار کرد.
پیام ما به عموم این است که همیشه مطمئن شوید تلفن های شما به آخرین نسخه ارائه شده توسط سازنده به روز می شوند. اگر حتی پرداخت های موبایلی امن نیستند، پس چیست؟
بیانیه مطبوعاتی
فراموش نکنید که آن را دنبال کنید Xiaomi-miui.gr در اخبار گوگل تا بلافاصله در مورد تمام مقالات جدید ما مطلع شوید! همچنین اگر از RSS reader استفاده میکنید، میتوانید صفحه ما را به سادگی با دنبال کردن این پیوند >> به لیست خود اضافه کنید https://news.xiaomi-miui.gr/feed/gn