Η Check Point Research (CPR) εντόπισε ευπάθειες στον μηχανισμό πληρωμών μέσω κινητού τηλεφώνου η οποία σε περίπτωση που δεν επιδιορθωθεί, ένας εισβολέας θα μπορούσε να κλέψει τους κωδικούς που χρησιμοποιούνται για την υπογραφή των Wechat Pay πακέτων ελέγχου και πληρωμών.
Στη χειρότερη περίπτωση, μια μη εξουσιοδοτημένη εφαρμογή Android θα μπορούσε να δημιουργήσει και να υπογράψει ένα ψεύτικο πακέτο πληρωμής.
Συγκεκριμένα, οι ευπάθειες εντοπίστηκαν στο αξιόπιστο περιβάλλον της Xiaomi, το οποίο είναι υπεύθυνο για την αποθήκευση και τη διαχείριση ευαίσθητων πληροφοριών, όπως κωδικούς πρόσβασης. Οι συσκευές που μελετήθηκαν από τη CPR τροφοδοτούνταν από τσιπ της MediaTek.
Δύο είδη επίθεσης
Η CPR ανακάλυψε δύο τρόπους επίθεσης στον αξιόπιστο κώδικα:
- Από μια μη εξουσιοδοτημένη εφαρμογή Android: Ο χρήστης εγκαθιστά μια κακόβουλη εφαρμογή και την εκκινεί. Η εφαρμογή εξάγει τα κλειδιά και στέλνει ένα ψεύτικο πακέτο πληρωμής για να κλέψει τα χρήματα
- Εάν ο δράστης έχει τις συσκευές-στόχους στα χέρια του: Ο επιτιθέμενος κάνει root τη συσκευή, στη συνέχεια υποβαθμίζει το περιβάλλον εμπιστοσύνης και στη συνέχεια εκτελεί τον κώδικα για να δημιουργήσει ένα ψεύτικο πακέτο πληρωμών χωρίς εφαρμογή.
Η CPR γνωστοποίησε τα ευρήματά της στη Xiaomi η οποία τα αναγνώρισε και προχώρησε στην έκδοση των απαραίτητων διορθώσεων.
«Αν οι πληρωμές μέσω κινητού δεν είναι ασφαλείς, τότε τι είναι;»
«Ανακαλύψαμε ένα σύνολο ευπαθειών που θα μπορούσαν να επιτρέψουν την παραποίηση πακέτων πληρωμών ή την απενεργοποίηση του συστήματος πληρωμών απευθείας, από μια εφαρμογή Android. Καταφέραμε να παραβιάσουμε το WeChat Pay και να υλοποιήσουμε μια πλήρως ολοκληρωμένη επίδειξη της παραβίασης. Η μελέτη μας σηματοδοτεί την πρώτη φορά που οι αξιόπιστες εφαρμογές της Xiaomi εξετάζονται για θέματα ασφαλείας. Κοινοποιήσαμε αμέσως τα ευρήματά μας στην Xiaomi, η οποία εργάστηκε γρήγορα για να εκδώσει μια διόρθωση. Το μήνυμά μας προς το κοινό είναι να βεβαιώνεστε συνεχώς ότι τα τηλέφωνά σας είναι ενημερωμένα στην τελευταία έκδοση που παρέχεται από τον κατασκευαστή. Αν ακόμη και οι πληρωμές μέσω κινητού δεν είναι ασφαλείς, τότε τι είναι;», αναφέρει ο Slava Makkaveev, Security Researcher της Check Point.
στο Google News και μάθετε πρώτοι όλες τις ειδήσειςLatest News
Το 50% των τσιπ κέντρων δεδομένων φέτος θα έχει σχεδιαστεί από την Arm
Οι επεξεργαστές της Arm αποκτούν δημοτικότητα λόγω της χαμηλότερης κατανάλωσης ενέργειας - Οι Amazon, Google, Microsoft σχεδιάζουν τσιπ κέντρων δεδομένων που βασίζονται σε τεχνολογία της Arm
Η ΕΕ βάζει την Big Tech στο κάδρο του εμπορικού πολέμου - Ερχονται πρόστιμα σε Apple και Meta
Με φόντο την κλιμάκωση του εμπορικού πολέμου η Κομισιόν ετοιμάζεται να επιβάλει πρόστιμα στην αφρόκρεμα των αμερικανικών τεχνολογικών εταιρειών
Νορβηγία: Συνετρίβη ο πρώτος τροχιακός πύραυλος που εκτόξευσε η Ευρώπη
Ο πύραυλος εκτοξεύτηκε από διαστημοδρόμιο στη Νορβηγία - Η γερμανική εταιρεία Isar Aerospace είχε κάνει λόγο για «αρχική δοκιμή»
Ήρθε για να μείνει - Το blockchain, οι εφαρμογές του και οι προκλήσεις
Το blockchain είναι μια τεχνολογία που έχει αλλάξει ριζικά τον τρόπο που αντιλαμβανόμαστε τις συναλλαγές
Η τρέλα της OpenAI για το Ghibli... που πήρε περίεργη τροπή
Τα social media έχουν κατακλυστεί με εικόνες στο στυλ του ιαπωνικού οίκου κινουμένων σχεδίων Studio Ghibli που έχει ενσωματώσει της OpenAI
Πώς ο Τραμπ έριξε σε χαμηλό 27 ετών μετοχή αμερικανικής εταιρείας ημιαγωγών
Η Wolfspeed είναι σε αναμονή για κονδύλια ύψους περίπου 750 εκατομμυρίων δολαρίων από ομοσπονδιακή χρηματοδότηση
H EE «ρίχνει» 1,3 δισ. ευρώ σε ΑΙ, κυβερνοασφάλεια και ψηφιακές δεξιότητες
Οι επτά βασικές προτεραιότητες της Κομισιόν στο πλαίσιο του προγράμματος DIGITAL - Τι περιλαμβάνει
To τηλεσκόπιο James Webb κατέγραψε για πρώτη φορά το σέλας του Ποσειδώνα
Οι πρώτες ενδείξεις για σέλας στον Ποσειδώνα χρονολογούνται την εποχή της αποστολής Voyager και επιβεβαιώνονται μόλις τώρα.
Kaspersky: 3,6 φορές πάνω το κακόβουλο λογισμικό στο mobile banking
Νέα έκθεση της Kaspersky για τις οικονομικές κυβερνοαπειλές
Πώς το TikTok ενισχύει τις επιχειρήσεις και την ανάπτυξη τους
Η δύναμη του TikTok δεν περιορίζεται πλέον στη διασκέδαση - Από τα likes στις πωλήσεις
![Τουρκία: Μεγάλες βλέψεις για παραγωγή ηλεκτρικών οχημάτων [γράφημα]](https://www.ot.gr/wp-content/uploads/2025/03/ot_turkish_autos-90x90.png)
![Ξενοδοχεία: «Τσίμπησαν» οι τιμές το 2024 – Πόσο κόστισε η διανυκτέρευση [πίνακας]](https://www.ot.gr/wp-content/uploads/2025/03/hotels-90x90.jpg)
![ΕΛΣΤΑΤ: Αυξήθηκε η οικοδομική δραστηριότητα κατά 15,6% το Δεκέμβριο [πίνακες]](https://www.ot.gr/wp-content/uploads/2025/03/DSC9655-2-1024x569-1-90x90.jpg)
![Γραφεία: Σημαντική αύξηση των ενοικίων στην Αθήνα – Οι τιμές ανά περιοχή [γραφήματα]](https://www.ot.gr/wp-content/uploads/2025/03/31_03_ot_GRafeia1_EXO-600x352.png)
![Ευρώπη: Στις 760.000 θα ανέλθουν οι νέες θέσεις εργασίας με την αύξηση των δαπανών για την άμυνα [γράφημα]](https://www.ot.gr/wp-content/uploads/2025/03/photo_2025-03-05_13-28-51-1-1024x600-1-600x352.jpg)
