Telefony Xiaomi mogą pomagać fałszować płatności
Telefony Xiaomi z chipami MediaTek są podatne na ataki związane ze sfałszowaną płatnością
- Michał Górecki
- /
- 16 sierpnia 2022
Jak czytamy w serwsie Hackernewsmodele Xiaomi Redmi Note 9T i Redmi Note 11 z powodu luki w zabezpieczeniachmogą być wykorzystywane do wyłączenia ochrony mechanizmu płatności mobilnych, anawet fałszowania transakcji poprzez oszukańczą aplikację zainstalowaną naurządzeniach.
Według specjalistów Check Point, izraelskiej firmyzajmującej się cyberbezpieczeństwem, przyczyną tego jest luka w urządzeniach zzamontowanymi chipsetami MediaTek. Nieprawidłowe działalnie wykryto podczas analizybezpieczeństwa produktów chińskiego producenta telefonów. Specjaliścisprawdzili element głównego procesora, który jest używany do przetwarzania iprzechowywania poufnych informacji, takich jak choćby klucze kryptograficzne.
Bezpieczeństwo telefonów Xiaomi
Element systemu może zostać przejęty i umożliwić atak naurządzenie poprzez zmuszenie systemu do „odrzucenia” aktualizacji i używania „starszej”podatnej na luki systemowe wersji:
- Atakujący może ominąć poprawki bezpieczeństwa wprowadzoneprzez Xiaomi lub MediaTek w aktualizacjach aplikacji, obniżając je do poziomuwcześniejszych wersji – mówi Slava Makkaveev z Check Point.
Luki w telefonach Xiaomi
Przy okazji badania, zidentyfikowano kilka luk wzabezpieczeniach systemowych w części odpowiedzialnej za zarządzaniebezpieczeństwem. Luki te mogą zostać wykorzystane przez złośliwą aplikację dowycieku przechowywanych kluczy lub wprowadzenie dowolnego kodu do aplikacji.
- Odkryliśmy zestaw luk w zabezpieczeniach, które mogąpozwolić na fałszowanie transakcji płatniczych lub wyłączanie zabezpieczeń systemupłatności bezpośrednio z aplikacji na Androida – dodano w komunikacie.
VMware z krytycznym błędem. Ryzyko utraty danychMartyna Kowalska
Słabo zabezpieczona jest przede wszystkim opracowana przez Xiaomiaplikacja obsługująca operacje kryptograficzne, współdziałająca z systemem płatnościmobilnych do autoryzacji transakcji w aplikacjach innych firm za pomocą WeChati Alipay.
Luka w zabezpieczeniach aplikacji powoduje, że można jąwykorzystać do wywołania komendy odmowy usługi przez aplikację na Androida. Lukapozwala też bez kłopotu używać starszej, niezabezpieczonej pod tym względemaktualizacji. Dzięki temu możliwe jest wyodrębnienie kluczy prywatnychużywanych do podpisywania pakietów płatności.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Po tym jak ujawniono lukę, Xiaomi rozwiązało problem w ramachaktualizacji wprowadzonej 6 czerwca 2022 r.
Oświadczenie Xiaomi
"Przyczyna podatności została zidentyfikowana.
Zespół techniczny Xiaomi ściśle współpracuje z partnerami z łańcucha dostaw w celu wyeliminowania ryzyka, a proces naprawczy został już rozpoczęty. Luka została znaleziona tylko w ograniczonej liczbie modeli i wymaga niezwykle zaawansowanej technologii łamania zabezpieczeń. W związku z tym, nie ma ona szerokiego wpływu i nie spowodowała żadnych strat dla użytkowników."
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?