Telefony Xiaomi mogą pomagać fałszować płatności

Telefony Xiaomi z chipami MediaTek są podatne na ataki związane ze sfałszowaną płatnością

  • Michał Górecki
  • /
  • 16 sierpnia 2022

Jak czytamy w serwsie Hackernewsmodele Xiaomi Redmi Note 9T i Redmi Note 11 z powodu luki w zabezpieczeniachmogą być wykorzystywane do wyłączenia ochrony mechanizmu płatności mobilnych, anawet fałszowania transakcji poprzez oszukańczą aplikację zainstalowaną naurządzeniach.

Według specjalistów Check Point, izraelskiej firmyzajmującej się cyberbezpieczeństwem, przyczyną tego jest luka w urządzeniach zzamontowanymi chipsetami MediaTek. Nieprawidłowe działalnie wykryto podczas analizybezpieczeństwa produktów chińskiego producenta telefonów. Specjaliścisprawdzili element głównego procesora, który jest używany do przetwarzania iprzechowywania poufnych informacji, takich jak choćby klucze kryptograficzne.

Bezpieczeństwo telefonów Xiaomi

Element systemu może zostać przejęty i umożliwić atak naurządzenie poprzez zmuszenie systemu do „odrzucenia” aktualizacji i używania „starszej”podatnej na luki systemowe wersji:

- Atakujący może ominąć poprawki bezpieczeństwa wprowadzoneprzez Xiaomi lub MediaTek w aktualizacjach aplikacji, obniżając je do poziomuwcześniejszych wersji – mówi Slava Makkaveev z Check Point.

Luki w telefonach Xiaomi

Przy okazji badania, zidentyfikowano kilka luk wzabezpieczeniach systemowych w części odpowiedzialnej za zarządzaniebezpieczeństwem. Luki te mogą zostać wykorzystane przez złośliwą aplikację dowycieku przechowywanych kluczy lub wprowadzenie dowolnego kodu do aplikacji.

- Odkryliśmy zestaw luk w zabezpieczeniach, które mogąpozwolić na fałszowanie transakcji płatniczych lub wyłączanie zabezpieczeń systemupłatności bezpośrednio z aplikacji na Androida – dodano w komunikacie.

VMware z krytycznym błędem. Ryzyko utraty danychVMware z krytycznym błędem. Ryzyko utraty danychMartyna Kowalska

Słabo zabezpieczona jest przede wszystkim opracowana przez Xiaomiaplikacja obsługująca operacje kryptograficzne, współdziałająca z systemem płatnościmobilnych do autoryzacji transakcji w aplikacjach innych firm za pomocą WeChati Alipay.

Luka w zabezpieczeniach aplikacji powoduje, że można jąwykorzystać do wywołania komendy odmowy usługi przez aplikację na Androida. Lukapozwala też bez kłopotu używać starszej, niezabezpieczonej pod tym względemaktualizacji. Dzięki temu możliwe jest wyodrębnienie kluczy prywatnychużywanych do podpisywania pakietów płatności.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Po tym jak ujawniono lukę, Xiaomi rozwiązało problem w ramachaktualizacji wprowadzonej 6 czerwca 2022 r. 

Oświadczenie Xiaomi

"Przyczyna podatności została zidentyfikowana. 

Zespół techniczny Xiaomi ściśle współpracuje z partnerami z łańcucha dostaw w celu wyeliminowania ryzyka, a proces naprawczy został już rozpoczęty. Luka została znaleziona tylko w ograniczonej liczbie modeli i wymaga niezwykle zaawansowanej technologii łamania zabezpieczeń. W związku z tym, nie ma ona szerokiego wpływu i nie spowodowała żadnych strat dla użytkowników."

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia o którym mowa w akrtykule?

Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!