Η Check Point Research (RCR) trouvé des vulnérabilités dans le mécanisme de paiement via les smartphones Xiaomi
ΣSi ce n'est pas corrigé, un attaquant pourrait voler les mots de passe utilisés pour signer le Wechat Pay forfaits de contrôle et de paiement. Dans le pire des cas, une application Android non autorisée pourrait en créer et en signer une faux paquet de paiement.
- Ils ont été retrouvés vulnérabilités dans l'environnement de confiance de Xiaomi
- Ci-dessus 1 milliard d'utilisateurs ils auraient pu être touchés
- Xiaomi a identifié et corrigé les failles de sécurité
En particulier, des vulnérabilités ont été trouvées dans l'environnement de confiance de Xiaomi, qui est responsable du stockage et de la gestion des informations sensibles telles que les mots de passe. Les appareils étudiés par CPR alimenté par sa puce MediaTek.
Deux types d'attaque
CPR a découvert deux manières d'attaquer le code de confiance :
1. Depuis une application Android non autorisée : L'utilisateur installe une application malveillante et la lance. L'application extrait les clés et envoie un faux paquet de paiement pour voler l'argent
2. Si l'agresseur a les appareils cibles entre ses mains : L'attaquant enracine l'appareil, puis dégrade l'environnement de confiance, puis exécute le code pour créer un faux package de paiement sans application.
Η CPR a communiqué ses conclusions de manière responsable à Xiaomi. Xiaomi a reconnu et publié des correctifs.
Ο Slava Makkaveïev, chercheur en sécurité, de Check Point commenté sur:
Nous avons réussi à le pirater WeChat Pay et mettre en œuvre une démonstration complète de la violation. Notre étude marque la première fois que les applications de confiance de Xiaomi ont été examinées pour des problèmes de sécurité. Nous avons immédiatement partagé nos découvertes avec Xiaomi, qui a travaillé rapidement pour publier un correctif.
Notre message au public est de toujours vous assurer que vos téléphones sont mis à jour avec la dernière version fournie par le fabricant. Si même les paiements mobiles ne sont pas sécurisés, alors qu'est-ce qui l'est ?
Communiqué de presse
N'oubliez pas de le suivre Xiaomi-miui.gr à Google Actualités pour être informé immédiatement de tous nos nouveaux articles ! Vous pouvez aussi si vous utilisez un lecteur RSS, ajouter notre page à votre liste, simplement en suivant ce lien >> https://news.xiaomi-miui.gr/feed/gn