Η Check Point Research (CPR) εντόπισε ευπάθειες στον μηχανισμό πληρωμών μέσω κινητού τηλεφώνου η οποία σε περίπτωση που δεν επιδιορθωθεί, ένας εισβολέας θα μπορούσε να κλέψει τους κωδικούς που χρησιμοποιούνται για την υπογραφή των Wechat Pay πακέτων ελέγχου και πληρωμών.

Στη χειρότερη περίπτωση, μια μη εξουσιοδοτημένη εφαρμογή Android θα μπορούσε να δημιουργήσει και να υπογράψει ένα ψεύτικο πακέτο πληρωμής.

Συγκεκριμένα, οι ευπάθειες εντοπίστηκαν στο αξιόπιστο περιβάλλον της Xiaomi, το οποίο είναι υπεύθυνο για την αποθήκευση και τη διαχείριση ευαίσθητων πληροφοριών, όπως κωδικούς πρόσβασης. Οι συσκευές που μελετήθηκαν από τη CPR τροφοδοτούνταν από τσιπ της MediaTek.

Δύο είδη επίθεσης

Η CPR ανακάλυψε δύο τρόπους επίθεσης στον αξιόπιστο κώδικα:

  1. Από μια μη εξουσιοδοτημένη εφαρμογή Android: Ο χρήστης εγκαθιστά μια κακόβουλη εφαρμογή και την εκκινεί. Η εφαρμογή εξάγει τα κλειδιά και στέλνει ένα ψεύτικο πακέτο πληρωμής για να κλέψει τα χρήματα
  2. Εάν ο δράστης έχει τις συσκευές-στόχους στα χέρια του: Ο επιτιθέμενος κάνει root τη συσκευή, στη συνέχεια υποβαθμίζει το περιβάλλον εμπιστοσύνης και στη συνέχεια εκτελεί τον κώδικα για να δημιουργήσει ένα ψεύτικο πακέτο πληρωμών χωρίς εφαρμογή.

Η CPR γνωστοποίησε τα ευρήματά της στη Xiaomi η οποία τα αναγνώρισε και προχώρησε στην έκδοση των απαραίτητων διορθώσεων.

«Αν οι πληρωμές μέσω κινητού δεν είναι ασφαλείς, τότε τι είναι;»

«Ανακαλύψαμε ένα σύνολο ευπαθειών που θα μπορούσαν να επιτρέψουν την παραποίηση πακέτων πληρωμών ή την απενεργοποίηση του συστήματος πληρωμών απευθείας, από μια εφαρμογή Android. Καταφέραμε να παραβιάσουμε το WeChat Pay και να υλοποιήσουμε μια πλήρως ολοκληρωμένη επίδειξη της παραβίασης. Η μελέτη μας σηματοδοτεί την πρώτη φορά που οι αξιόπιστες εφαρμογές της Xiaomi εξετάζονται για θέματα ασφαλείας. Κοινοποιήσαμε αμέσως τα ευρήματά μας στην Xiaomi, η οποία εργάστηκε γρήγορα για να εκδώσει μια διόρθωση. Το μήνυμά μας προς το κοινό είναι να βεβαιώνεστε συνεχώς ότι τα τηλέφωνά σας είναι ενημερωμένα στην τελευταία έκδοση που παρέχεται από τον κατασκευαστή. Αν ακόμη και οι πληρωμές μέσω κινητού δεν είναι ασφαλείς, τότε τι είναι;», αναφέρει ο Slava Makkaveev, Security Researcher της Check Point.

Ακολουθήστε τον ot.grστο Google News και μάθετε πρώτοι όλες τις ειδήσεις
Δείτε όλες τις τελευταίες Ειδήσεις από την Ελλάδα και τον Κόσμο, στον ot.gr
ΕΙΔΗΣΕΙΣ ΣΗΜΕΡΑ Υποκλοπές: Δριμεία κριτική της κυβέρνησης στον ΣΥΡΙΖΑ για την κυβερνοασφάλεια Πώς δρουν οι απατεώνες του διαδικτύου – Ο «ρομαντικός», ο «φίλος» και η «ευκαιρία» Κυβερνοασφάλεια: Αύξηση των επιθέσεων κατά 114% στον τομέα της εκπαίδευσης τα τελευταία 2 χρόνια

Latest News

Iταλία: Ενίσχυση μέτρων ασφάλειας σε όλες τις τουριστικές περιοχές λόγω… Μαγδεμβούργου Γερμανία: Φουντώνουν οι συζητήσεις για στρατεύματα «κατάλληλα» για πόλεμο εάν επιτεθεί η Ρωσία TikTok: Η Αλβανία το «κλείνει» για τουλάχιστον έναν χρόνο Λονδίνο: Χαστούκι στους Λονδρέζους από τον Δήμαρχο Γάζα – Χαμάς: Μια συμφωνία κατάπαυσης του πυρός είναι «πιο κοντά από ποτέ» Amazon: Eξαπλώνεται η απεργία σε μεγάλο κέντρο διαλογής της Νέας Υόρκης
Airbnb: Ρεκόρ ανόδου στις βραχυχρόνιες μισθώσεις το 2024 [γραφήματα] ΑΑΔΕ: Έρχονται τα αυτόματα πρόστιμα – Τι πρέπει να προσέξουν οι φορολογούμενοι Φυσικό αέριο: Διελκυστίνδα ΗΠΑ- Ρωσίας στην ενεργειακή αγορά της Ευρώπης Φωτοβολταϊκά: Η ηλιακή βιομηχανία της Κίνας ακολουθεί το μοντέλο του ΟΠΕΚ Πόλεις: Ποιες είναι οι καλύτερες για αστική κινητικότητα Βραζιλία: Σύγκρουση λεωφορείου με φορτηγό – Τουλάχιστον 22 νεκροί
Διαβάστε περισσότερα
Πρόσφατα Άρθρα Τεχνολογία
Sparkle: Ανίχνευση σεισμικών δονήσεων με χρήση υποβρυχίων καλωδίων
Τεχνολογία |

Χρήση υποβρυχίων καλωδίων για την ανίχνευση σεισμικών δονήσεων

Μετά το MoU μεταξύ του Εθνικού Ινστιτούτου Γεωφυσικής και Ηφαιστειολογίας της Ιταλίας και της Sparkle, τα υποβρύχια καλώδια της TIM θα χρησιμοποιηθούν για παρακολούθηση σεισμών και παλιρροϊκών κυμάτων στη Μεσόγειο