Η Check Point Research (CPR) εντόπισε ευπάθειες στον μηχανισμό πληρωμών μέσω κινητού τηλεφώνου η οποία σε περίπτωση που δεν επιδιορθωθεί, ένας εισβολέας θα μπορούσε να κλέψει τους κωδικούς που χρησιμοποιούνται για την υπογραφή των Wechat Pay πακέτων ελέγχου και πληρωμών.
Στη χειρότερη περίπτωση, μια μη εξουσιοδοτημένη εφαρμογή Android θα μπορούσε να δημιουργήσει και να υπογράψει ένα ψεύτικο πακέτο πληρωμής.
Συγκεκριμένα, οι ευπάθειες εντοπίστηκαν στο αξιόπιστο περιβάλλον της Xiaomi, το οποίο είναι υπεύθυνο για την αποθήκευση και τη διαχείριση ευαίσθητων πληροφοριών, όπως κωδικούς πρόσβασης. Οι συσκευές που μελετήθηκαν από τη CPR τροφοδοτούνταν από τσιπ της MediaTek.
Δύο είδη επίθεσης
Η CPR ανακάλυψε δύο τρόπους επίθεσης στον αξιόπιστο κώδικα:
- Από μια μη εξουσιοδοτημένη εφαρμογή Android: Ο χρήστης εγκαθιστά μια κακόβουλη εφαρμογή και την εκκινεί. Η εφαρμογή εξάγει τα κλειδιά και στέλνει ένα ψεύτικο πακέτο πληρωμής για να κλέψει τα χρήματα
- Εάν ο δράστης έχει τις συσκευές-στόχους στα χέρια του: Ο επιτιθέμενος κάνει root τη συσκευή, στη συνέχεια υποβαθμίζει το περιβάλλον εμπιστοσύνης και στη συνέχεια εκτελεί τον κώδικα για να δημιουργήσει ένα ψεύτικο πακέτο πληρωμών χωρίς εφαρμογή.
Η CPR γνωστοποίησε τα ευρήματά της στη Xiaomi η οποία τα αναγνώρισε και προχώρησε στην έκδοση των απαραίτητων διορθώσεων.
«Αν οι πληρωμές μέσω κινητού δεν είναι ασφαλείς, τότε τι είναι;»
«Ανακαλύψαμε ένα σύνολο ευπαθειών που θα μπορούσαν να επιτρέψουν την παραποίηση πακέτων πληρωμών ή την απενεργοποίηση του συστήματος πληρωμών απευθείας, από μια εφαρμογή Android. Καταφέραμε να παραβιάσουμε το WeChat Pay και να υλοποιήσουμε μια πλήρως ολοκληρωμένη επίδειξη της παραβίασης. Η μελέτη μας σηματοδοτεί την πρώτη φορά που οι αξιόπιστες εφαρμογές της Xiaomi εξετάζονται για θέματα ασφαλείας. Κοινοποιήσαμε αμέσως τα ευρήματά μας στην Xiaomi, η οποία εργάστηκε γρήγορα για να εκδώσει μια διόρθωση. Το μήνυμά μας προς το κοινό είναι να βεβαιώνεστε συνεχώς ότι τα τηλέφωνά σας είναι ενημερωμένα στην τελευταία έκδοση που παρέχεται από τον κατασκευαστή. Αν ακόμη και οι πληρωμές μέσω κινητού δεν είναι ασφαλείς, τότε τι είναι;», αναφέρει ο Slava Makkaveev, Security Researcher της Check Point.
στο Google News και μάθετε πρώτοι όλες τις ειδήσειςLatest News
Η Baidu έκανε την έκπληξη - Πτώση εσόδων αλλά μικρότερη από το αναμενόμενο
Η Baidu κατέγραψε αύξηση 12% των εσόδων της από μη διαδικτυακό μάρκετινγκ στα 1,1 δισεκατομμύρια δολάρια
Visa: 10 συμβουλές για να κάνετε τις αγορές σας με ασφάλεια
Όπως προκύπτει από την τελευταία έκθεση της Visa «Απειλές απάτης στις γιορτές 2024»’, οι απειλές κλιμακώνονται αυτή την περίοδο
Η Ινδονησία «στρίμωξε» την Apple - Πώς κέρδισε δεκαπλάσια επένδυση
Η Apple «πείστηκε» να κατασκευάσει ένα εργοστάσιο αξεσουάρ και εξαρτημάτων στο Μπαντούνγκ της Δυτικής Ιάβας
Η «πράσινη» ενέργεια φέρνει τα data centers στην Ελλάδα
Τα data centers για να λειτουργήσουν απαιτούν τεράστια ποσά ενέργειας που πολλές φορές απλά δεν είναι διαθέσιμα - Πώς αιολική και ηλιακή ενέργεια μπορεί να «φέρουν» πρόσθετες επενδύσεις
Πώς ο Τραμπ επιδιώκει να φέρει στα μέτρα του... Μασκ τον νόμο για αυτόνομα αυτοκίνητα
Η ομάδα Τραμπ επιδιώκει να κάνει πιο εύκολους τους κανόνες για την κατασκευή αυτόνομων αυτοκινήτων - Τυχαίο...;
Αυξημένες κατά 25% οι κυβερνοαπειλές στο λιανεμπόριο ενόψει της Black Friday
Οι απατεώνες συχνά παρουσιάζονται ως μεγάλα καταστήματα όπως η Amazon, η Walmart και το Etsy
«Θύμα» της επιτυχίας της η Nvidia - Τεράστια κέρδη αλλά κάτω από τις πιο αισιόδοξες προβλέψεις
Οι μετοχές της Nvidia υποχώρησαν περίπου 5% σε διευρυμένες συναλλαγές μετά την ανακοίνωση όπως αναφέρει το Bloomberg
Τι αξίζει η Google χωρίς τον Chrome;
Στη «δίκη της δεκαετίας» οι Αμερικανοί δικαστές ζητούν από την Google να αποχωριστεί τον Chrome. Πόσο σημαντικός είναι ο browser για τον αμερικανικό τεχνολογικό κολοσσό;
Πού επεκτείνουν τη δράση τους Κινέζοι χάκερ - Ποιους διπλωμάτες παρακολουθεί το Ιράν
Τι δείχνει η τελευταία Έκθεση Δραστηριότητας APT της ESET για την κυβερνοασφάλεια και τη δράση επιλεγμένων ομάδων προηγμένων επίμονων απειλών (APT)
Αυξημένες κατά 21% οι παγκόσμιες δαπάνες για το cloud το 3ο τρίμηνο του 2024
Oι παγκόσμιες δαπάνες για υπηρεσίες cloud ανήλθαν το γ' τρίμηνο του 2024 στα 82 δισεκατομμύρια δολάρια, αυξημένεες κατά 21%
![ΗΠΑ: Στρατηγικό σχέδιο για τριπλασιασμό της παραγωγής πυρηνικής ενέργειας έως το 2050 [γράφημα]](https://www.ot.gr/wp-content/uploads/2024/05/nuclear-power-4021418_1280-90x90.jpg)
![Τουρισμός: Πάνω από 5 εκατ. αφίξεις σε καταλύματα τον Σεπτέμβριο [γραφήματα]](https://www.ot.gr/wp-content/uploads/2021/10/katalymata-90x90.jpg)
![Φοροδιαφυγή: Τα τέσσερα νέα ψηφιακά εργαλεία στη μάχη – Τι πιστεύουν οι πολίτες [γραφήματα]](https://www.ot.gr/wp-content/uploads/2024/11/WhatsApp-Image-2024-11-21-at-19.47.36_93593176-600x400.jpg)
