Η Check Point Research (CPR) εντόπισε ευπάθειες στον μηχανισμό πληρωμών μέσω κινητού τηλεφώνου η οποία σε περίπτωση που δεν επιδιορθωθεί, ένας εισβολέας θα μπορούσε να κλέψει τους κωδικούς που χρησιμοποιούνται για την υπογραφή των Wechat Pay πακέτων ελέγχου και πληρωμών.
Στη χειρότερη περίπτωση, μια μη εξουσιοδοτημένη εφαρμογή Android θα μπορούσε να δημιουργήσει και να υπογράψει ένα ψεύτικο πακέτο πληρωμής.
Συγκεκριμένα, οι ευπάθειες εντοπίστηκαν στο αξιόπιστο περιβάλλον της Xiaomi, το οποίο είναι υπεύθυνο για την αποθήκευση και τη διαχείριση ευαίσθητων πληροφοριών, όπως κωδικούς πρόσβασης. Οι συσκευές που μελετήθηκαν από τη CPR τροφοδοτούνταν από τσιπ της MediaTek.
Δύο είδη επίθεσης
Η CPR ανακάλυψε δύο τρόπους επίθεσης στον αξιόπιστο κώδικα:
- Από μια μη εξουσιοδοτημένη εφαρμογή Android: Ο χρήστης εγκαθιστά μια κακόβουλη εφαρμογή και την εκκινεί. Η εφαρμογή εξάγει τα κλειδιά και στέλνει ένα ψεύτικο πακέτο πληρωμής για να κλέψει τα χρήματα
- Εάν ο δράστης έχει τις συσκευές-στόχους στα χέρια του: Ο επιτιθέμενος κάνει root τη συσκευή, στη συνέχεια υποβαθμίζει το περιβάλλον εμπιστοσύνης και στη συνέχεια εκτελεί τον κώδικα για να δημιουργήσει ένα ψεύτικο πακέτο πληρωμών χωρίς εφαρμογή.
Η CPR γνωστοποίησε τα ευρήματά της στη Xiaomi η οποία τα αναγνώρισε και προχώρησε στην έκδοση των απαραίτητων διορθώσεων.
«Αν οι πληρωμές μέσω κινητού δεν είναι ασφαλείς, τότε τι είναι;»
«Ανακαλύψαμε ένα σύνολο ευπαθειών που θα μπορούσαν να επιτρέψουν την παραποίηση πακέτων πληρωμών ή την απενεργοποίηση του συστήματος πληρωμών απευθείας, από μια εφαρμογή Android. Καταφέραμε να παραβιάσουμε το WeChat Pay και να υλοποιήσουμε μια πλήρως ολοκληρωμένη επίδειξη της παραβίασης. Η μελέτη μας σηματοδοτεί την πρώτη φορά που οι αξιόπιστες εφαρμογές της Xiaomi εξετάζονται για θέματα ασφαλείας. Κοινοποιήσαμε αμέσως τα ευρήματά μας στην Xiaomi, η οποία εργάστηκε γρήγορα για να εκδώσει μια διόρθωση. Το μήνυμά μας προς το κοινό είναι να βεβαιώνεστε συνεχώς ότι τα τηλέφωνά σας είναι ενημερωμένα στην τελευταία έκδοση που παρέχεται από τον κατασκευαστή. Αν ακόμη και οι πληρωμές μέσω κινητού δεν είναι ασφαλείς, τότε τι είναι;», αναφέρει ο Slava Makkaveev, Security Researcher της Check Point.
Latest News
Πρώτη η Ελλάδα στην έκθεση σε κακόβουλο λογισμικό - Οι κίνδυνοι για τις επιχειρήσεις
Αυξημένους κινδύνους, ανάγκη για επαγρύπνηση και ενίσχυση της ευαισθητοποίησης στον τομέα της κυβερνοασφάλειας δείχνουν οι έρευνες της Kaspersky
Έρχονται τα εργοστάσια τσιπ - Ο ρόλος Μπάιντεν και Τραμπ
Λιγότερη εξάρτηση από το εξωτερικό ήταν ο κύριος στόχος της κυβέρνησης Μπάιντεν ενισχύοντας την αμερικανική παραγωγή τσιπ
Απέλπιδα δικαστική προσπάθεια του TikTok να φρενάρει την διακοπή στις ΗΠΑ
Χωρίς μια τέτοια δικαστική απόφαση, η δημοφιλής πλατφόρμα TikTok θα μπορούσε να απαγορευτεί στις ΗΠΑ εντός έξι εβδομάδων
Στο στόχαστρο των αντιμονοπωλιακών αρχών της Κίνας η Nvidia
Η κίνηση της κινεζικής ρυθμιστικής αρχής έρχεται καθώς βαθαίνουν οι εντάσεις μεταξύ Ουάσιγκτον και Πεκίνου
Με αμείωτο ρυθμό οι επενδύσεις για data centers στην ελληνική αγορά
Μετά τη θεμελίωση του πρώτου κέντρου δεδομένων της Data4, στο παιχνίδι των data centers μπαίνει και η κοινοπραξία ΔΕΗ-DAMAC
Προειδοποίηση από ΕΛ.ΑΣ για δήθεν επενδυτικές πλατφόρμες στο διαδίκτυο
Τι πρέπει να προσέσουν οι πολίτες για να μην πέσουν θύματα σε ηλεκτρονικές απάτες
Η Vodafone λανσάρει υπηρεσίες Τεχνητής Νοημοσύνης για επιχειρήσεις
To Vodafone Business, παραμετροποιεί τα ψηφιακά εργαλεία προκειμένου να ανταποκρίνονται ακριβώς στις ανάγκες της εκάστοτε επιχείρησης
«Η ανάπτυξη της τεχνητής νοημοσύνης επιτέλους επιβραδύνεται» - Τι προβλέπει τώρα ο CEO της Google
Θα χρειαστεί χρόνος για μια άλλη τεχνολογική ανακάλυψη για να θέσει ξανά την ΑΙ σε εξαιρετικά γρήγορη αναπυτξιακή ταχύτητα, προβλέπει ο CEO της Google Σουντάρ Πιτσάι
Εκτοξεύτηκε με επιτυχία ο δορυφόρος παρατήρησης της Γης Copernicus Sentinel-1C
Ο Copernicus Sentinel-1C θα παρέχει ζωτικής σημασίας απεικονίσεις radar για την κατανόηση της κλιματικής αλλαγής και την προστασία του πλανήτη
Amazon Transcribe: Διαθέσιμη στα ελληνικά η ζωντανή μετατροπή ομιλίας σε κείμενο
Με την προσθήκη 30 επιπλέον γλωσσών η υπηρεσία Amazon Transcribe υποστηρίζει πλέον περισσότερες από 100 γλώσσες