Η 检查点研究(CPR) 通过小米智能手机发现支付机制存在漏洞
Σ如果不解决此问题,攻击者可能会窃取用于签署协议的密码 微信支付 控制和支付包。 在最坏的情况下,未经授权的 Android 应用程序可能会创建并签署一个 假支付包.
- 他们被发现 漏洞 在小米值得信赖的环境中
- 以上 1亿用户 他们可能会受到影响
- 小米已识别并修复安全漏洞
特别是在负责存储和管理密码等敏感信息的小米可信环境中发现了漏洞。 研究的设备 心肺复苏术 由她的芯片供电 联发科.
两种攻击方式
CPR 发现了两种攻击可信代码的方法:
1. 从未经授权的 Android 应用程序: 用户安装恶意应用程序并启动它。 该应用程序提取密钥并发送虚假付款包以窃取资金
2. 如果犯罪者手中有目标设备: 攻击者启动设备,然后降级信任环境,然后执行代码以在没有应用程序的情况下创建虚假支付包。
Η 心肺复苏术 负责任地将她的发现传达给 小米. 小米已经承认并发布了修复程序。
Ο 斯拉瓦·马卡维耶夫, 安全研究员, 的 检查点 评论:
我们发现了一组漏洞,这些漏洞可能允许伪造支付包或直接从 Android 应用程序禁用支付系统。
我们设法破解了它 接受微信支付 并对违规行为进行全面综合论证。 我们的研究标志着小米可信应用程序首次接受安全问题检查。 我们立即与 小米,它很快就发布了修复程序。
我们向公众传达的信息是始终确保您的手机更新到制造商提供的最新版本。 如果连移动支付都不安全,那又是什么?
新闻稿
不要忘记关注它 小米miui.gr 在 谷歌新闻 立即获悉我们所有的新文章! 如果您使用 RSS 阅读器,您也可以通过点击此链接将我们的页面添加到您的列表中 >> https://news.xiaomi-miui.gr/feed/gn