ΓΔ: 1390.69 -0.71% Τζίρος: 147.16 εκ. € Τελ. ενημέρωση: 17:25:02 ΣΤΟΙΧΕΙΑ ΑΓΟΡΑΣ
Xiaomi, Kina, China, Kinita Tilefona
Φωτο: Shutterstock

Σοβαρά κενά ασφαλείας εντοπίστηκαν σε συσκευές Xiaomi

Οι ευπάθειες εντοπίστηκαν στο αξιόπιστο περιβάλλον της Xiaomi, το οποίο είναι υπεύθυνο για την αποθήκευση και τη διαχείριση ευαίσθητων πληροφοριών, όπως κωδικούς πρόσβασης. Κίνδυνος για 1 εκατ. χρήστες συσκευών Xiaomi.

Η Check Point Research (CPR) εντόπισε ευπάθειες στον μηχανισμό πληρωμών μέσω κινητού Xiaomi. Σε περίπτωση που αυτή δεν επιδιορθωθεί, ένας εισβολέας θα μπορούσε να κλέψει τους κωδικούς που χρησιμοποιούνται για την υπογραφή των Wechat Pay πακέτων ελέγχου και πληρωμών. Στη χειρότερη περίπτωση, μια μη εξουσιοδοτημένη εφαρμογή Android θα μπορούσε να δημιουργήσει και να υπογράψει ένα ψεύτικο πακέτο πληρωμής.

Όπως αναφέρει η Check Point Research, βρέθηκαν τρωτά σημεία στο αξιόπιστο περιβάλλον της Xiaomi και πάνω από 1 δισεκατομμύριο χρήστες θα μπορούσαν να έχουν επηρεαστεί, ενώ η Xiaomi αναγνώρισε και διόρθωσε τα κενά ασφαλείας

Συγκεκριμένα, οι ευπάθειες εντοπίστηκαν στο αξιόπιστο περιβάλλον της Xiaomi, το οποίο είναι υπεύθυνο για την αποθήκευση και τη διαχείριση ευαίσθητων πληροφοριών, όπως κωδικούς πρόσβασης. Οι συσκευές που μελετήθηκαν από τη CPR τροφοδοτούνταν από τσιπ της MediaTek.

Δύο είδη επίθεσης

Η CPR ανακάλυψε δύο τρόπους επίθεσης στον αξιόπιστο κώδικα: 

  1. Από μια μη εξουσιοδοτημένη εφαρμογή Android: Ο χρήστης εγκαθιστά μια κακόβουλη εφαρμογή και την εκκινεί. Η εφαρμογή εξάγει τα κλειδιά και στέλνει ένα ψεύτικο πακέτο πληρωμής για να κλέψει τα χρήματα
  2. Εάν ο δράστης έχει τις συσκευές-στόχους στα χέρια του: Ο επιτιθέμενος κάνει root τη συσκευή, στη συνέχεια υποβαθμίζει το περιβάλλον εμπιστοσύνης και στη συνέχεια εκτελεί τον κώδικα για να δημιουργήσει ένα ψεύτικο πακέτο πληρωμών χωρίς εφαρμογή.

Η CPR γνωστοποίησε υπεύθυνα τα ευρήματά της στη Xiaomi. Η Xiaomi αναγνώρισε και εξέδωσε διορθώσεις.  Ο Slava Makkaveev, Security Researcher, Check Point σχολίασε σχετικά: «ανακαλύψαμε ένα σύνολο ευπαθειών που θα μπορούσαν να επιτρέψουν την παραποίηση πακέτων πληρωμών ή την απενεργοποίηση του συστήματος πληρωμών απευθείας, από μια  εφαρμογή Android. Καταφέραμε να παραβιάσουμε το WeChat Pay και να υλοποιήσουμε μια πλήρως ολοκληρωμένη επίδειξη της παραβίασης. Η μελέτη μας σηματοδοτεί την πρώτη φορά που οι αξιόπιστες εφαρμογές της Xiaomi εξετάζονται για θέματα ασφαλείας. Κοινοποιήσαμε αμέσως τα ευρήματά μας στην Xiaomi, η οποία εργάστηκε γρήγορα για να εκδώσει μια διόρθωση. Το μήνυμά μας προς το κοινό είναι να βεβαιώνεστε συνεχώς ότι τα τηλέφωνά σας είναι ενημερωμένα στην τελευταία έκδοση που παρέχεται από τον κατασκευαστή. Αν ακόμη και οι πληρωμές μέσω κινητού δεν είναι ασφαλείς, τότε τι είναι;».

Google news logo Ακολουθήστε το Business Daily στο Google news

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

ΤΕΧΝΟΛΟΓΙΑ

Τα πρώτα iPhone made in India και ο φορτιστής με προδιαγραφές Ευρώπης

Το iPhone 15 βγαίνει στην αγορά και φέρνει δύο μεγάλες αλλαγές: μέρος της παραγωγής γίνεται στην Ινδία, ενώ η Apple υποχρεώθηκε από τις Βρυξέλλες να υιοθετήσει φορτιστή USB. Τα χαρακτηριστικά του νέου μοντέλου.
ΤΕΧΝΟΛΟΓΙΑ

Τα νέα χαρακτηριστικά που φέρνει για τους χρήστες η Apple στα iPhone 14

Η Apple έδωσε μεγάλη προσοχή σε τεχνολογίες ασφάλειας, όπως η τεχνολογική ικανότητα εντοπισμού ενός ατυχήματος, αλλά και η δυνατότητα τηλεφωνικής κλήσης από ορεινές περιοχές για την ενεργοποίηση επιχειρήσεων διάσωσης.
ΤΕΧΝΟΛΟΓΙΑ

Ποιες είναι οι απαιτήσεις των καταναλωτών από τα προϊόντα τεχνολογίας

Η διάρκεια της μπαταρίας και το μέγεθος ενός έξυπνου κινητού ήταν μέχρι πρόσφατα στο επίκεντρο του ενδιαφέροντος ενός καταναλωτή. Ωστόσο πλέον οι καταναλωτές αναζητούν περισσότερα χαρακτηριστικά τεχνολογικά και σχεδιαστικά.
smartphone-charger
ΤΕΧΝΟΛΟΓΙΑ

Ευρωπαϊκή συμφωνία για καθιέρωση κοινού φορτιστή σε όλες τις συσκευές

Η αναθεώρηση αυτή εντάσσεται σε μια ευρύτερη προσπάθεια της Ε.Ε. να καταστήσει τα προϊόντα πιο βιώσιμα, ιδίως τα ηλεκτρονικά προϊόντα στην ευρωπαϊκή αγορά και να μειώσει τα ηλεκτρονικά απόβλητα. Στα 250 εκατ. ευρώ το κέρδος των καταναλωτών.