Уязвимости в смартфонах Xiaomi позволяют хакерам подделывать платежи

Пн 15 Август 2022 09:27

Уязвимости в защите смартфонов Xiaomi на базе MediaTek обнаружили аналитики из Check Point Research (CPR). По их словам, бреши находились в надежной среде выполнения ( TEE ) Xiaomi.

Первая обнаруженная уязвимость дает злоумышленнику возможность заменить новую версию приложения на старую версию. С ее помощью исследователям удалось обойти существующие обновления безопасности, перезаписав легитимное приложение 'thhadmin' в MIUI 12.5.6.0 с помощью приложения из MIUI 10.4.1.0. “Находка” позволила исследователям использовать другую уязвимость ( CVE-2020-14125 ) в сервисе Tencent Soter . С ее помощью хакеры извлекают закрытые ключи для подписи платежных поручений, полностью компрометируя сервис, который служит базой при авторизации транзакций для WeChat и Alipay.

Чтобы защититься от CVE-2020-14125 специалисты рекомендуют пользователям смартфонов Xiaomi на базе MediaTek установить июньские обновления безопасности Android, которые вышли в этом году. Однако другая уязвимость, позволяющая понижать версии приложений, все еще не исправлена. Патч для нее находится в процессе разработки.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 261 день 16 часов 37 минут 57 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.