В программном обеспечении мобильных платежей Xiaomi обнаружены уязвимости

Уязвимости в системе мобильных платежей Xiaomi могут привести к краже закрытых ключей, используемых для подписи контрольных и платежных пакетов Wechat Pay.

Недостатки были обнаружены Check Point Research (CPR) в доверенной среде выполнения Xiaomi, системном элементе, отвечающем за хранение и управление конфиденциальной информацией, такой как пароли и ключи.

Слава Маккавеев, исследователь безопасности Check Point, прокомментировал:

«Мы обнаружили набор уязвимостей, которые могут позволить подделать платежные пакеты или отключить платежную систему напрямую из непривилегированного приложения Android».

Устройства Xiaomi, изученные CPR, были оснащены чипами MediaTek и оказались уязвимыми для двух разных типов атак, нацеленных на ранее упомянутую уязвимость.

Подробнее об атаках

Первый вид атаки исходит от непривилегированного вредоносного приложения для Android, которое устанавливается и запускается пользователем. В этом случае приложение сможет взять ключи и отправить поддельный платежный пакет, чтобы украсть деньги.

Второй метод атаки заключался в физическом владении устройством злоумышленником. Если физическое устройство было получено, они могли получить root-права на устройство, понизить доверительную среду, а затем запустить код для создания поддельного платежного пакета без приложения.

Маккавеев продолжил:

«Мы смогли взломать WeChat Pay и внедрить полностью работающее доказательство концепции. Наше исследование отмечает, что доверенные приложения Xiaomi впервые проверяются на наличие проблем с безопасностью».

Наше обращение к общественности — постоянно следить за тем, чтобы ваши телефоны были обновлены до последней версии, предоставленной производителем. Если даже мобильные платежи небезопасны, то что тогда?»

Xiaomi сразу же исправила уязвимости, как только они были обнаружены CPR.