Η 체크포인트 조사(CPR) Xiaomi 스마트폰을 통한 지불 메커니즘의 취약점 발견
Σ이 문제가 해결되지 않으면 공격자가 서명하는 데 사용된 암호를 도용할 수 있습니다. 위챗 페이 제어 및 지불 패키지. 최악의 경우 승인되지 않은 Android 앱이 앱을 만들고 서명할 수 있습니다. 가짜 지불 패키지.
- 그들은 발견되었다 취약점 Xiaomi의 신뢰할 수 있는 환경에서
- 위에 1억 사용자 그들은 영향을 받을 수 있었다
- Xiaomi는 보안 구멍을 식별하고 수정했습니다.
특히 비밀번호 등 민감한 정보를 저장·관리하는 샤오미의 신뢰 환경에서 취약점이 발견됐다. 에 의해 연구된 장치 심폐소생술 그녀의 칩으로 구동 미디어 텍.
두 가지 유형의 공격
CPR은 신뢰할 수 있는 코드를 공격하는 두 가지 방법을 발견했습니다.
1. 승인되지 않은 Android 앱에서: 사용자가 악성 애플리케이션을 설치하고 실행합니다. 앱이 키를 추출하고 가짜 지불 패킷을 보내 돈을 훔칩니다.
2. 가해자가 목표 장치를 손에 들고 있는 경우: 공격자는 장치를 루팅한 다음 신뢰 환경을 저하시킨 다음 코드를 실행하여 애플리케이션 없이 가짜 결제 패키지를 생성합니다.
Η 심폐소생술 그녀의 연구 결과를 책임감 있게 샤오 미 테크. Xiaomi는 수정 사항을 인정하고 발표했습니다.
Ο 슬라바 마카비예프, 보안 연구원, 체크 포인트 댓글:
우리는 그것을 해킹하는 데 성공했다 WeChat Pay 위반에 대한 완전하고 포괄적인 시연을 구현합니다. 우리의 연구는 Xiaomi의 신뢰할 수 있는 앱이 보안 문제에 대해 조사된 첫 번째 사례입니다. 우리는 즉시 우리의 발견을 공유했습니다. 샤오 미 테크, 신속하게 문제를 해결했습니다.
대중에 대한 우리의 메시지는 항상 휴대전화가 제조업체에서 제공하는 최신 버전으로 업데이트되었는지 확인하는 것입니다. 모바일 결제도 안전하지 않다면 무엇입니까?
보도 자료
잊지말고 따라해보세요 Xiaomi-miui.gr 에 구글 뉴스 모든 새로운 기사에 대해 즉시 알려드립니다! RSS 리더를 사용하는 경우 이 링크를 따라 목록에 페이지를 추가할 수도 있습니다. >> https://news.xiaomi-miui.gr/feed/gn
