Η チェック・ポイント・リサーチ(CPR) Xiaomiスマートフォンを介した支払いメカニズムの脆弱性を発見
Σこれが修正されない場合、攻撃者は署名に使用されたパスワードを盗む可能性があります。 Wechat Pay コントロールと支払いのパッケージ。 最悪の場合、承認されていない Android アプリが作成して署名する可能性があります。 偽の支払いパッケージ.
- 彼らは見つかった 脆弱性 Xiaomiの信頼できる環境で
- 以上 1 億人のユーザー 彼らは影響を受けた可能性があります
- Xiaomiはセキュリティホールを特定して修正しました
特に、パスワードなどの機密情報の保存と管理を担当するXiaomiの信頼できる環境で脆弱性が発見されました。 によって研究されたデバイス CPR 彼女のチップで動く テック.
二種類の攻撃
CPR は、信頼できるコードを攻撃する XNUMX つの方法を発見しました。
1. 無許可の Android アプリから: ユーザーが悪意のあるアプリケーションをインストールして起動します。 アプリは鍵を抽出し、偽の支払いパケットを送信してお金を盗みます
2. 加害者がターゲット デバイスを手にしている場合: 攻撃者はデバイスをルート化し、信頼環境を低下させ、コードを実行してアプリケーションなしで偽の支払いパッケージを作成します。
Η CPR 彼女の発見を責任を持って伝えた Xiaomi. Xiaomiは修正を認めて発行しました。
Ο スラヴァ・マッカヴェエフ、セキュリティ研究者、 チェックポイント コメントした:
ハッキングに成功しました WeChat Pay 違反の完全に包括的なデモンストレーションを実装します。 私たちの調査は、Xiaomi の信頼できるアプリがセキュリティ問題について調査された初めての例です。 私たちはすぐに調査結果を共有しました Xiaomi、修正を発行するために迅速に機能しました。
公衆への私たちのメッセージは、携帯電話がメーカーが提供する最新バージョンに常に更新されていることを確認することです. モバイル決済でさえ安全でないとすれば、それは何でしょう?
ΔελτίοΤύπου
それに従うことを忘れないでください Xiaomi-miui.gr に グーグルニュース すべての新しい記事についてすぐに通知されます! RSSリーダーを使用している場合は、このリンクをたどるだけで、リストにページを追加することもできます>> https://news.xiaomi-miui.gr/feed/gn