Η أبحاث نقطة التفتيش (CPR) وجدت نقاط ضعف في آلية الدفع من خلال هواتف Xiaomi الذكية
Σإذا لم يتم إصلاح ذلك ، يمكن للمهاجم سرقة كلمات المرور المستخدمة للتوقيع على Wechat الدفع حزم التحكم والدفع. في أسوأ السيناريوهات ، يمكن لتطبيق Android غير مصرح به إنشاء واحد وتوقيعه حزمة دفع وهمية.
- تم العثور عليهم نقاط الضعف في بيئة Xiaomi الموثوقة
- على 1 مليار مستخدم كان من الممكن أن يتأثروا
- حددت Xiaomi الثغرات الأمنية وأصلحتها
على وجه الخصوص ، تم العثور على ثغرات أمنية في بيئة Xiaomi الموثوقة ، المسؤولة عن تخزين وإدارة المعلومات الحساسة مثل كلمات المرور. الأجهزة التي درسها CPR مدعوم من رقاقة لها ميديا تيك.
نوعان من الهجوم
اكتشف CPR طريقتين لمهاجمة التعليمات البرمجية الموثوقة:
1. من تطبيق Android غير مصرح به: يقوم المستخدم بتثبيت تطبيق ضار وتشغيله. يستخرج التطبيق المفاتيح ويرسل حزمة دفع مزيفة لسرقة الأموال
2. إذا كان الجاني لديه الأجهزة المستهدفة في يده: يقوم المهاجم بجذر الجهاز ، ثم يحط من بيئة الثقة ، ثم ينفذ الكود لإنشاء حزمة دفع مزيفة بدون تطبيق.
Η CPR بمسؤولية نقل النتائج التي توصلت إليها إلى شاومي. أقرت Xiaomi وأصدرت إصلاحات.
Ο سلافا ماكافيف، باحث الأمن ، نقطة تفتيش علق على:
تمكنا من اختراقها ويشات الدفع وتنفيذ عرض توضيحي شامل للخرق. تمثل دراستنا المرة الأولى التي يتم فيها فحص تطبيقات Xiaomi الموثوقة بحثًا عن مشكلات الأمان. شاركنا النتائج التي توصلنا إليها على الفور مع شاومي، والتي عملت بسرعة لإصدار الإصلاح.
رسالتنا للجمهور هي التأكد دائمًا من تحديث هواتفك إلى أحدث إصدار توفره الشركة المصنعة. إذا لم تكن مدفوعات الهاتف المحمول آمنة ، فما هو إذن؟
خبر صحفى
لا تنسى متابعته Xiaomi-miui.gr في أخبار جوجل ليتم إطلاعك على الفور على جميع مقالاتنا الجديدة! يمكنك أيضًا إذا كنت تستخدم قارئ RSS ، فأضف صفحتنا إلى قائمتك ، ببساطة عن طريق اتباع هذا الرابط >> https://news.xiaomi-miui.gr/feed/gn