Μετάβαση στο περιεχόμενο
30 C
Athens
Πέμπτη, 10 Ιουλίου 2025

Κινητά Xiaomi με επεξεργαστή Mediatek βρέθηκαν με σοβαρό πρόβλημα στο σύστημα πληρωμών!

Οι αναλυτές ασφαλείας εντόπισαν ευπάθειες ασφαλείας στο σύστημα πληρωμών που υπάρχουν στα smartphone Xiaomi που βασίζονται σε τσιπ MediaTek που παρέχουν το Trusted Execution Environment (TEE) υπεύθυνο για την υπογραφή συναλλαγών.

[su_button url=”https://itechnews.gr/2020/04/itechnews-gr-tora-pia-episima-kai-sta-google/” target=”blank” style=”bubbles” background=”#5d9e17″ color=”#ffffff” size=”10″ wide=”yes” center=”yes” radius=”20″ icon=”https://itechnews.gr/wp-content/uploads/2021/08/google_news.jpg” icon_color=”#060606″ text_shadow=”2px 2px 2px #000000″ rel=”lightbox”]Ακολουθήστε το iTechNews.gr στο Google News! Παρακολουθήστε τα τελευταία νέα, τάσεις, αξεσουάρ και παρουσιάσεις[/su_button]

Οι εισβολείς θα μπορούσαν να εκμεταλλευτούν ευπάθειες για να υπογράψουν πλαστά πακέτα πληρωμών χρησιμοποιώντας μια μη προνομιούχα εφαρμογή τρίτων.

Οι συνέπειες μιας τέτοιας επίθεσης θα ήταν ότι η υπηρεσία πληρωμών δεν θα είναι διαθέσιμη ή ότι οι συναλλαγές υπογράφονται από το κινητό πορτοφόλι του χρήστη στον λογαριασμό του παράγοντα απειλής.

[affcoups id=”101850″]

Δεδομένου του πόσο κοινές είναι οι πληρωμές μέσω κινητού τηλεφώνου και τα τηλέφωνα Xiaomi, ειδικά στις ασιατικές αγορές, εκτιμάται ότι η δεξαμενή χρημάτων που μπορούν να εκμεταλλευτούν οι χάκερ είναι της τάξης των δισεκατομμυρίων δολαρίων ΗΠΑ.

Έμπιστο περιβάλλον στη Xiaomi

Τα τηλέφωνα Xiaomi που λειτουργούν με τσιπ MediaTek χρησιμοποιούν την αρχιτεκτονική “Kinibi” TEE, η οποία δημιουργεί έναν ξεχωριστό εικονικό θύλακα για την αποθήκευση των απαραίτητων κλειδιών ασφαλείας για την υπογραφή συναλλαγών. Αυτή η περιοχή έχει σχεδιαστεί για να εκτελεί αξιόπιστες εφαρμογές όπως το “thhadmin” της Xiaomi, το οποίο είναι υπεύθυνο για τη διαχείριση της ασφάλειας, συμπεριλαμβανομένου του ενσωματωμένου πλαισίου πληρωμών μέσω κινητού τηλεφώνου “Tencent Soter”, το οποίο παρέχει ένα API για εφαρμογές τρίτων για την ενσωμάτωση λειτουργιών πληρωμής.

[affcoups id=”101840″]

Εφαρμογές όπως το WeChat Pay και το Alipay, που μαζί έχουν πάνω από ένα δισεκατομμύριο χρήστες, βασίζονται στο API “Tencent Soter” για την ασφαλή επαλήθευση των πακέτων πληρωμών και την ενεργοποίηση των οικονομικών συναλλαγών.

Επίθεση στη ζώνη εμπιστοσύνης της Xiaomi

Οι ερευνητές ασφαλείας του Check Point ανακάλυψαν ένα ελάττωμα στη μορφή αξιόπιστης εφαρμογής που χρησιμοποιεί η Xiaomi, δηλαδή την έλλειψη ελέγχου έκδοσης. Αυτό ανοίγει την πόρτα σε μια επίθεση υποβάθμισης, που σημαίνει ότι ένας κακόβουλος hacker θα μπορούσε να αντικαταστήσει μια νεότερη, πιο ασφαλή εφαρμογή με μια παλαιότερη, ευάλωτη έκδοση.

[affcoups id=”101828″]

Οι ερευνητές κατάφεραν να εκμεταλλευτούν μια άλλη ευπάθεια (CVE-2020-14125) στην αξιόπιστη εφαρμογή της Tencent Soter, η οποία επιτρέπει σε έναν εισβολέα να εξάγει ιδιωτικά κλειδιά και να υπογράφει πλαστά πακέτα πληρωμών στο πλαίσιο ενός μη προνομιούχου χρήστη. Παράκαμψαν τις ενημερώσεις κώδικα ασφαλείας της Xiaomi και της MediaTek αντικαθιστώντας την εφαρμογή «thhadmin» στο MIUI 12.5.6.0 με αυτήν του MIUI 10.4.1.0, ανοίγοντας μυριάδες δυνατότητες εκμετάλλευσης.

Η σύνδεση επικοινωνίας δημιουργείται χρησιμοποιώντας το SoterService ως διακομιστή μεσολάβησης, αφού καλέσετε τη συνάρτηση initSigh στην εφαρμογή Soter χρησιμοποιώντας τον ακόλουθο κώδικα Java.

Πως να μείνετε ασφαλής

Είναι σημαντικό οι χρήστες τηλεφώνων Xiaomi που βασίζονται σε MediaTek να εφαρμόζουν τις ενημερώσεις ασφαλείας Android του Ιουνίου 2022 που αντιμετωπίζουν την ευπάθεια CVE-2020-14125.

Το σφάλμα διαρροής κλειδιού Soter είναι ένα ζήτημα τρίτου μέρους και η Xiaomi θα μπορούσε μόνο να επιβεβαιώσει ότι ο προμηθευτής εργάζεται σε μια επιδιόρθωση, επομένως μια επιδιόρθωση θα πρέπει να είναι διαθέσιμη στο μέλλον.

[affcoups id=”101822″]

Εάν δεν έχετε την οικονομική δυνατότητα να απενεργοποιήσετε πλήρως τις πληρωμές μέσω κινητού τηλεφώνου, προσπαθήστε να ελαχιστοποιήσετε τον αριθμό των εγκατεστημένων εφαρμογών στη συσκευή σας, να διατηρήσετε ενημερωμένο το λειτουργικό σας σύστημα και να χρησιμοποιήσετε μια σουίτα ασφαλείας για κινητά που μπορεί να τις εντοπίσει και να τις σταματήσει. ύποπτες ενέργειες.

[signoff]

Πηγή

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Leave a reply

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

ΠΡΟΣΦΑΤΑ ΑΡΘΡΑ

Το Apple Watch 10 αποδείχθηκε η πιο ακριβής συσκευή για μετρήσεις θερμίδων, σύμφωνα με μελέτη

Τα smartwatches τα βλέπουμε πλέον παντού σήμερα και όλο και περισσότεροι χρήστες τα χρησιμοποιούν για να παρακολουθούν μετρήσεις υγείας και φυσικής κατάστασης. Πόσο ακριβείς...

Motorola Moto G96: Επίσημο με SD 7s Gen 2 και οθόνη OLED 144Hz

Το Moto G96 είναι πλέον επίσημο και διαθέτει γρήγορη οθόνη 144Hz, τον Snapdragon 7s Gen 2 της Qualcomm και μπαταρία 5.500mAh. Το Moto G96 είναι...

Samsung Galaxy Z Fold7: Αυτά θα είναι τα τρία βασικά χρώματα του foldable

Η εκδήλωση Samsung Galaxy Unpacked θα πραγματοποιηθεί στις 9 Ιουλίου, αλλά, πριν η εταιρεία ανακοινώσει επίσημα την επόμενη σειρά foldable συσκευών της, έχουμε μια...

Τι είναι η Διαχυτική Ικανότητα Πνευμόνων (DLCO) και γιατί είναι σημαντική;

Πρόκειται για μια διαγνωστική μέθοδο που παρέχει κρίσιμες πληροφορίες για τη λειτουργία της αναπνοής και τη γενικότερη υγεία των πνευμόνων. Η διαχυτική ικανότητα πνευμόνων (ή DLCO -...

Νέο “TREND”!? Open Ear… “Σκουλαρικο-ακουστικά” Recci W66 στα 19€ από Ελλάδα και Giveaway

Trend ξε Trend προσωπικά δεν μου αφήσαν τα καλύτερα συναισθήματα, αλλά ως Open Ear ακουστικά για κάποιες "ειδικές" ομάδες ίσως και να είναι λύση......

ΤΕΛΕΥΤΑΙΕΣ ΠΡΟΣΦΟΡΕΣ

Νέο “TREND”!? Open Ear… “Σκουλαρικο-ακουστικά” Recci W66 στα 19€ από Ελλάδα και Giveaway

Trend ξε Trend προσωπικά δεν μου αφήσαν τα καλύτερα συναισθήματα, αλλά ως Open Ear ακουστικά για κάποιες "ειδικές" ομάδες ίσως και να είναι λύση......

Η Πιο Cool, Μικρή, Όμορφη και “ΤΣΑΜΠΑ” Εσπρεσιέρα που έχω φέρει… Στα 57€ ΚΟΜΠΛΕ!!! BLITZHOME® C180

Είναι κάποια προϊόντα που με αφήνουν πραγματικά έκπληκτο από την ποιότητα τους τις καινοτομίες τους, την λειτουργία τους... και κάποια που με αφήνουν "άφωνο"...

Με το “ΚΑΛΥΤΕΡΟ Λόγω Τιμής” ΚΙΤ Αυτόνομης Κατάδυσης στο “Απέραντο Γαλάζιο”!!! Στα 187€ Κομπλέ από Ευρώπη

Ένα από τα πιο μαγευτικά πράγματα που από μικροί θέλουμε να εξερευνήσουμε είναι ο βυθός της θάλασσας. Η ησυχία του, η αίσθηση ελευθερίας και...

Βγαλμένα από “CHALLENGE”… Τα “ΑΠΟΛΥΤΑ” In Ear στο 20άρικο, από Ελλάδα!!! QCY HT15 Buds

Αν θα σου έλεγα πως υπό συνθήκες με 17€ από Ελλάδα θα πάρεις επώνυμα in ear buds με το δικό τους App, με ANC...

“Διάφανη” Ενέργεια… με 10000mah… Tο ομορφότερο Power Bank που έχω φέρει στο κανάλι. Στα 21€ Κομπλέ και Giveaway

Δεν ξέρω αν είναι το καλύτερο, δυνατότερο και ελαφρύτερο... αλλά σίγουρα ξέρω πως είναι το ομορφότερο και πιο ιδιαίτερο power bank που έχω φέρει...